最終更新日: 2017年9月11日

Dropbox迷惑メールでランサムウェア感染 Please verify your email addressが危険

イメージ 2
Image いらすとや

オンラインファイルストレージ Dropbox を勝手に名乗り、メールアドレスの認証通知を装った英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

イメージ 1
送信者がDropboxに偽装されてるスパム
Please verify your email address
件名 Please verify your email address / Please verify your email address [メールアドレス] = あなたのメールアドレスを認証してください
送信者 Dropbox <no-reply@dropbox.com> <verify@dropbox.com>
添付ファイル なし
Hi [メールアドレスの一部],
We just need to verify your email address before your sign up is complete!
Verify your email
 Happy Dropboxing!
多くのユーザーさんにとってサッパリ身に覚えがないはずで、驚いて思わず 「Verify your email」 リンクをポチッと踏んでしまう仕掛けです。 <偽Dropboxメールに添付ファイルはなし

誘導先の偽Dropboxからjsファイル!?

誘導先は外観デザインを Dropbox っぽく見せかけた 「Dropbox - Verify Email」 なる偽ページでした。 <URLは dropbox.com ではない

イメージ 3
IE11ブラウザでの偽Dropbox表示例

We were unable to verify your Dropbox account.
Please click here to download a new verification message.

イメージ 4
Chromeブラウザでの偽Dropbox表示例

The "HoeflerText" font was not found.
The web page you are trying to load is displayed incorrectly, as it uses the "HoeflerText" font. To fix the error and display the next, you have to update the "Chrome Font Pack" / "Mozilla Font Pack".

スクリプトファイル .js

ここでユーザーにナゾの JScript Script ファイル/JavaScript ファイル拡張子 .js)を開くよう促してきます。

イメージ 5
「Win.JSFontlib09.js」 ファイル

イメージ 9
「Dropbox-MSGCODE-[数字].js」 ファイル

【Nemucodウイルス】
www.virustotal.com/ja/file/decd71ae3b5e683f0c3d057ac0576cbd624ca10734e1984f15cb77fcd23c4a37/analysis/1504206980/

だた、この正体は認証用ファイルでもHoeflerTextフォントでも何でもなく スクリプトウイルス という脅威です。

いちおう .jsファイル の動作環境は Windows XP/Vista/7/8/10 パソコンだけなので、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は、メールの受信はあっても攻撃対象外となり大丈夫です。

.jsファイル開くとランサムウェア感染

仮に.jsファイルを手動で開くと?

手元で確認すると wscript.exe を介して外部ネットワークに接続し、不正な実行ファイル(拡張子 .exe)をシレッとダウンロードしてきて起動する症状を確認しました。

イメージ 7
Windowsのプロセスの様子
ダウンロードされてきた実行ファイル(緑色)が起動して感染

イメージ 6
外部通信トラフィックの様子
ハッキングされた正規サーバーがウイルス置き場になってる

この感染した実行ファイルの正体は、Windowsパソコンの写真や文書など暗号化して破壊し身代金の支払いを要求する ランサムウェア Locky となります。 <Dropbox のアカウントを狙うフィッシング詐欺ではなし

【Lockyウイルス】
MD5ハッシュ値 1974edcb8326835d1ad1ca94d70a914a
www.virustotal.com/ja/file/19865bb16f4609b4703eaba1d773d60a85009b715274ad862ca4cbb5772c621a/analysis/1504207421/

この攻撃手口は、メール上の誘導リンクを思わずクリック → 即ランサムウェア感染という流れでは無い のでご安心を♪

ランサムウェア感染でファイル破壊

ランサムウェア Locky に感染すると、オリジナルファイルは 「[英数字].lukitus」 に変更されて白紙アイコン、各フォルダに脅迫文が記載されたHTMLファイル 「lukitus-[英数字].htm」 が作成されます。

イメージ 8
感染症状に拡張子lukitusファイル!?

スクリプトウイルスの無害化

怪しいメールを開くな』 といった必ずしも実現できない精神論ではなく、この攻撃手口に効果的なWindowsパソコン向け 無料ウイルス対策 を紹介♪


あらかじめスクリプトウイルスを無害化しておくと、Windowsユーザーさんがヒューマンエラーをキッカケに不正なスクリプトファイルをうっかり開いても、メインのマルウェアが侵入する前に確実に防げるので感染しません。

メールの内容にいちいち振り回されることがなくなります。
関連するブログ記事

タグ :
#Windows