拡張子osiris/zzzzz/aesir変更 Lockyウイルス迷惑メール&添付ファイル感染に注意
Windowsパソコン を攻撃ターゲットにファイルを暗号化して、復元するための身代金ビットコインを要求するランサムウェア Locky ウイルスの続報です。
2016年11月21日より破壊ファイルの目印として、新たな拡張子 「~.aesir」 へ変更されました。
32ケタ英数字+拡張子.aesirファイル、アイコン画像は白紙に
Aesir 〔北欧神話〕 アシール,アサ神族:Odin に率いられ Asgard に住んだ主神たち
dictionary.goo.ne.jp/ej/1221/meaning/m0u/aesir/
ランサムウェア感染経路 の1つは 英語表記の迷惑メール(スパムメール) で、たとえば 米アマゾンの商品発送、invoice(請求書)、コピー複合機のデータ受信、税金の督促通知、といった広告的な要素を排除した内容を装ってます。 <スパムフィルタのスリ抜けが起こる
Locky感染! 添付ファイル付き迷惑メールの実例
【迷惑メールの件名例】
Your Amazon.com order has dispatched (#[数字]-[数字]-[数字])
Invoice for [数字] 21/11/2016
Please find attached invoice no: [数字]
Message from KMBT_C220
Spam mailout
Receipt
Invoice [英数字]
Delivery status
Abax UK Invoice [数字]
Documents Requested
Re:Documents Requested
FW:Documents Requested
Message from "RNP[英数字]"
Please note
Scan from office
https://blogs.yahoo.co.jp/fireflyframer/34385904.html
添付ファイルの中身はスクリプトファイル
メールには ZIP形式の圧縮アーカイブ が付いていて、この添付ファイルを手動で展開・解凍すると、中から不正なスクリプトファイルが登場します。
- JScript Scriptファイル/JavaScriptファイル(拡張子 .js / .jse)
- Windows Scriptファイル(拡張子 .wsf)
- VBScript Scriptファイル(拡張子 .vbs)
ダブルクリック厳禁! 危険なスクリプトファイル
この.jsファイル、.wsfファイル、.vbsファイルをWindowsパソコン上でポチポチっとダブルクリックして開いてしまうと一貫の終わりです。
外部ネットワークから Locky 本体ファイルが強制的にダウンロードされてきてシレッと起動し感染となります。
【Locky .aesirのウイルススキャン例】
www.virustotal.com/ja/file/9ce9ba52643c7f37b9f54c31f5e319db7c799a168744f3b5be7f4638e2ef52c4/analysis/1479736903/
[11月26日 追記...]
ランサムウェア Locky ウイルスによる暗号化でファイルを破壊した目印の拡張子は2016年11月24日より 「~.zzzzz」(zが5つ) の変更へもう切り替わりました。
[11月31日 追記...]
2016年11月29日から英語の 迷惑メールの添付ファイルとして不正なOfficeファイル も投入されてます。
【迷惑メールの件名例】
Please find attached a XLS Invoice [数字]
File COPY.29112016.[数字].XLS Sent 29/11/2016
Message from RNP[英数字]
Attached Image
Message from KMBT_C220
いわゆる マクロウイルス と呼ばれる脅威です。
不正なマクロ入りOfficeファイル .xlsm & .docm
あらかじめ Microsoft Office の設定を変更する↓無料ウイルス対策で、ランサムウェアを侵入させず攻撃を確実に失敗に終わらせることができます。
[12月9日 追記...]
ハイフン除く36ケタ英数字.osiris
ランサムウェア Locky ウイルスによる暗号化でファイル破壊の目印は2016年12月5日から次のように変更されました。
- 拡張子の変更 → 「~.osiris」(オシリス)
- 脅迫文ファイル → DesktopOSIRIS.htm OSIRIS-[4ケタ英数字].htm OSIRIS.htm
Wikipedia によると osoris は『古代エジプト神話に登場する神の一柱(=1人)』だそうです。
ランサムウェアの感染を回避する無料ウイルス対策
Lockyウイルスに感染したくないなら、理想では 『怪しいメールを開くな!』『怪しいファイルを開くな!』 です。
ただ、現実は厳しく不正なものと気付けないユーザーさんが踏み抜く ので、それを見越してランサムウェアを侵入させることなく攻撃をほぼ100%失敗に終わらせる↓無料ウイルス対策があるのでどぞ。