Photos迷惑メール添付のZIPファイルから拡張子js Bartウイルス感染被害
 
ランサムウェア Locky の感染を狙った迷惑メール の配信キャンペーンが2016年6月の第4週に復活し、以前からバラ撒かれてたパターンだけど見ず知らずの外国人から Photos(写真) の送信を装った迷惑メールも再び着弾~。
件名 Photos
差出人 ~@yahoo.es / ~@yahoo.co.uk / ~@yahoo.com

添付ファイル photos.zip / image.zip / picture.zip
本文 (なし)
本文ないけど、添付ファイルが気になって確認したくなるトラップです。

添付ファイルの詳細

ZIP形式の圧縮アーカイブを解凍・展開 すると JavaScriptファイル/JScript Scriptファイル拡張子 .js)が登場するので、これをユーザーの意思でポチポチっとダブルクリックして開いてしまえば感染アウトとなります。
 
イメージ 1
「DOC-[数字].js」 JScript Script ファイル
画像じゃないことはファイルの種類(拡張子)で分かる♪
 
不正なスクリプトウイルスをダブルクリックする
不正な実行ファイルをダブルクリックすることに等しい
 
このjsファイルは、外部ネットワークから何か↓Windows向け実行ファイルをダウンロードしてきて起動する役割を持ってます。
 
MD5 846171e2629b712429a903811d19c12b
www.virustotal.com/ja/file/5d3e7c31f786bbdc149df632253fd538fb21cfc0aa364d0f03a79671bbaec62d/analysis/1466772181/
 
ちなみに、動作環境はWindows XP/Vista/7/8/10パソコンで、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー、テレビ あたりは関係なし!

ファイルを暗号化するランサムウェア感染

最初は Locky ランサムウェアウイルスかと思ったらどうも違うようで、別の新しいランサムウェア Bart を落とし込むみたい?
 
Doh! New "Bart" Ransomware from Threat Actors Spreading Dridex and Locky | Proofpoint
https://www.proofpoint.com/us/threat-insight/post/New-Bart-Ransomware-from-Threat-Actors-Spreading-Dridex-and-Locky
 

 
[追記...]
 
ひとまず新しいランサムウェア Bart(バート) を単体で動かしてみると、ファイルを暗号化した趣旨を案内するテストファイルや壁紙用BMPファイルは、Locky の脅迫文 をそのまま流用してます。 <英語
 
イメージ 2
Bart感染時の脅迫文ファイル recover.bmp recover.txt 
!!! IMPORTANT INFORMATION !!!
All your files are encrypted.
Decrypting of your files is only possible with the private key, which is on our secret server.
To receive your private key follow one of the links:
(~以下略~)
暗号化処理は独自のものではなく、オリジナルのファイルを パスワード付きZIP形式の圧縮アーカイブ に変換する手法を採用していて、その拡張子は「~.bart.zip」に変更されました。
 
イメージ 3
圧縮ファイル「[ファイル名].bart.zip」だらけに…
 
イメージ 4
パスワード分からず復元・復号できないと
 
セキュリティ会社のBartウイルス検出名
 
ESET Win32/Filecoder.Bart
Kaspersky Trojan-Ransom.Win32.Bart
Microsoft Ransom:Win32/Bartcrypt.A
Symantec Trojan.Ransomcrypt.BA
Trend Micro Ransom_BART.A Ransom_BARTZ.A RANSOM_BARTZ.B
 

 
[2016年7月21日 追記...]
 
オランダ/チェコのセキュリティ会社 AVG Technologies から 暗号化ファイル復号ツール AVG Decryption Tool for Bart がリリースされました。 <パスワード付きZIPファイルを解読するライブラリ PkCrack というのがアルのね~
 
Bart’s Shenanigans Are No Match for AVG | AVG Now Blog
http://now.avg.com/barts-shenanigans-are-no-match-for-avg/



[2017年4月 追記...]

ルーマニアのセキュリティ会社 BitDefender からもランサムウェアBartファイル復号ツールがリリース~。

Bart Ransomware Decryption Tool Released; Works for All Known Samples | Bitdefender
https://labs.bitdefender.com/2017/04/bart-ransomware-decryption-tool-released-works-for-all-known-samples/
関連するブログ記事