無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2015/04

新生銀行迷惑メール メールアドレスの確認 本人認証サービス フィッシング詐欺誘導
 
{{{ 2015年6月 更新 }}}
 
何度もしつこい三菱東京UFJ銀行、新たなセブン銀行と同じタイミングで新生銀行に成りすました日本語表記の迷惑メール(スパムメール)が不特定多数にバラ撒かれてるようで。 <先週からドバっと
件名 本人認証サービス
件名 【新生銀行】本人認証サービス
件名 【新生銀行】メールアドレスの確認
件名 【新生銀行】重要なお知らせ
件名 重要なお知らせ(2015年6月*日更新)


こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「新生銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。

https://pdirect08.shinseibank.com/FLEXCUBEAt/LiveConnect.dll?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40

――Copyright(C)2015 Shinsei Bank, Limited――
――Copyright(C)2015 Shinei Bank, Limited――
メール本文末尾の著作権表記が、最初は「Shinsei Bank」だったのに何か途中から「Shinei Bank」(しんえいバンク?)に切り替わって…
 
<5月1日 追記始め>
 
三菱東京UFJ銀行バージョンでも登場したことがあるタイプだけど、「貴様」呼ばわりで必ず話題になる偽メールが来ました。
件名 【新生銀行】本人認証サービス
件名 【新生銀行】メールアドレスの確認
件名 【新生銀行】重要なお知らせ


*******************************************************
         新生銀行Eメール配信サービス
*******************************************************

2015年「新生銀行」のシステムセキュリティのアップグレードのため、貴様のアカウントの利用中止を避けるために、検証する必要があります。

以下のページより登録を続けてください。

https://pdirect08.shinseibank.com/FLEXCUBEAt/LiveConnect.dll?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40

――Copyright(C)2015 Shinsei Bank, Limited――
<追記終わり>

誘導先はフィッシング詐欺目的の偽サイト

メール本文の実際の誘導先は、ハッキングされたサーバーが踏み台となってるリダイレクターを挟んで転送されます。
 
偽メール

 ↓
http:// www.gz-szp[.]com/js/
http:// wddxlj[.]com/js/
http:// oa.joysys[.]com/js/
http:// hmymahetao[.]com/js/
http:// www.hlrtlsz[.]com/pk/
http:// www.benyiwj[.]com/pk/
http:// traduce-instant[.]com/js/
http:// ad.benq.com[.]cn/js/
http:// www.dlxgszjy[.]com/js/index.htm
http:// eps.umgg.com[.]cn/js/
http:// www.gzhbp[.]com/js/
http:// www.szrlike[.]com/js/
http:// solfafa[.]com/js/
http:// tbxlw[.]com/pk/
http:// www.qdbbw[.]cn/css/
http:// www.ab9[.]cc/js/
http:// www.ahymw[.]cn/js/index.htm
http:// www.cnmingle[.]com/js/
http:// www.intelart[.]cn/pk/index.htm
http:// bojue122[.]com/js/
http:// www.haoluosc[.]com/js/
http:// ewm.8767[.]com/js/
http:// rizhaowan[.]com/js/
http:// mingshu[.]org/img/index.htm
http:// lxgart[.com/pk/
http:// www.cdputh[.]com/js/
http:// www.dapidea[.]com/js/
http:// hbmpld[.]com/js/
http:// shyk17[.]com/js/
http:// www.lybjyy[.]com/js/
http:// www.zcgames[.]cn/js/i/
http:// www.l-cremel[.]com/js/
http:// www.topnotch[.]cc/js/
http:// 100kyj[.]com/js/i/
http:// www.esyhyy[.]com/js/
http:// www.ly6665999[.]com/js/
 ↓
http:// pdirect08.shinseibank.com.nyx[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.evn[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.rfv[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.rif[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.ikm[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.cko[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.rhm[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.noa[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.xto[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.fes[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40
http:// pdirect08.shinseibank.com.vyn[.]cn.com/FLEXCUBEAt/LiveConnect.htm?EntryFunc&fldAppID=RT&fldTxnID=LGN&fldScrSeqNo=00&fldLangID=JPN&fldDeviceID=01&fldRequestorID=40

 
転送された先はイギリスのドメイン販売会社が提供してるサブドメイン(cn.comで稼働するフィッシング詐欺サイトです。
 
イメージ 1
新生パワーダイレクト ログインスクリーン
 
新生銀行の公式サイトから画像やデザインを丸コピーしてきたフィッシング詐欺狙いの不正なページをこしらえて、見た目でユーザーをダマそうとする~。
新生銀行を装った詐欺メール・詐欺サイトについてのご注意 (新生銀行)
http://www.shinseibank.com/info/news150421_secure.html

新生銀行をかたるフィッシング (2015/04/21) (フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/shinseibank20150421.html
このエントリーをはてなブックマークに追加

お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました ランサムウェア感染被害
 
昨日記事を投稿したけど、Windowsパソコンをターゲットにファイルを暗号化して破壊し、ファイルの復元・復旧に盾に身代金を要求するランサムウェアの1つ
 
 TorrentLocker
 
 
Crypt0L0cker」(アルファベットの o を数字のゼロで表記)を名乗るランサムウェアの挙動を確認するため、現物を手元のWindowsパソコン上で今日感染してみました~。
 
ramsom(身代金) + software = ransomware

ファイルの暗号化による破壊

まず目に見えるウイルス感染症状として、文書ファイルや画像ファイルの拡張子に「~.encrypted」を付け足して内部データを暗号化され開けなくなります。 <破壊じゃ~!
 
イメージ 3
例) hoge.jpg ⇒ hoge.jpg.encrypted

自ら”ウイルス”を名乗る日本語の脅迫文

脅迫文が記載されたHTMLファイルとテキストファイルが各フォルダに新規作成されていきます。 (ファイル自体は無害)
 
DECRYPT_INSTRUCTIONS.html ←
DECRYPT_INSTRUCTIONS.txt
 
イメージ 1
まともな日本語の文章で脅迫するCrypt0L0cker!
ご注意
お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました

お客様の重要なファイル(ネットワーク・ディスク、USBなどのファイルを含む):画像、動画、ドキュメントなどは、当方のCrypt0L0ckerウイルスによって暗号化されました。お客様のファイルをもとに戻すには、お支払いが必要となります。お支払いのない場合、ファイルは失われます。

警告: Crypt0L0ckerを削除しても、暗号化されたファイルへのアクセスを復活させることはできません。
(~以下略~)
「よくあるご質問」項目の中身はこんな感じになってます。
 
イメージ 2
 
驚いたのが、日本語の文章が普通すぎて文法に明らかな不自然さも見られず、機械翻訳ではないネイティブの人間が日本語翻訳に携わってる!?
 
過去に、こういう残念な日本語のランサムウェアも存在したので、海外のサイバー犯罪者が携わるが故にもたらされた言語の壁が取り払われてるのは衝撃的だったりします。
 
ちなみに、日本語以外にも東アジアや東南アジアの言語に今回対応されてます。
 
タイ語バージョンだとこうなる
http://www.thaiseoboard.com/index.php?topic=367987
 
台湾でも
http://www.mobile01.com/topicdetail.php?f=508&t=4356912&p=2

身代金約5万円 暗号解読ソフトの購入を要求

匿名通信Torネットワーク上に用意されてる身代金支払いページでは、『暗号解読ソフトを購入し、すべての暗号化されたお客様のファイルを取り戻しませんか』として仮想通貨Bitcoinを要求します。
 
ここも日本語がバッチリ完璧という…。
 
イメージ 4
購入代金として身代金47,900円相当をBitcoinで
一定時間経過してしまうと2倍に引き上げて95,800円相当
 
左上に「CryptoLocker」ロゴマークが見えるけど、ネットワーク崩落済みのランサムウェア CryptoLocker と名前を似せてるだけで、種類が異なる別モノです。
 
このランサムウェア Crypt0L0cker は、一般的に TorrentLocker として以前から確認されていたものになります。
 

 
[4月24日 追記...]
 
セキュリティ会社からCrypt0L0ckerウイルスのニュースが出ました。
ランサムウェアによる攻撃が極東地域でも拡大 (Symantec)
http://www.symantec.com/connect/node/3405081

身代金要求文書が日本語化されたランサムウェア「TorrentLocker」亜種を確認 (Canon IT Solutions)
http://canon-its.jp/eset/malware_info/news/150423_3/

日本語対応したCryptoランサムウェアを国内で確認 (Trend Micro)
http://blog.trendmicro.co.jp/archives/11378
感染回避対策は前回の記事で触れてるようにウイルス感染経路を潰しておいて、Crypt0L0ckerが強制インストールされない状態にしておくことです。
 

TorrentLockerそのものの駆除削除

Windows向けフリーソフトの「Malwarebytes Anti-Malware」「Microsoft Safety Scanner」でウイルススキャンを実施しましょう。
 
いちおう上級者向けとして、記事執筆時点での起動用パラメータが設定されてるレジストリとファイルの位置はこんな感じ。
 
イメージ 5
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 項目名 → [ランダム文字列]
 データ → C:\Windows\[ランダム文字列].exe
 
● ランダム文字列は感染マシンごとにバラバラ (アルファベット小文字+長さ8文字)
● データのところがTorrentLockerウイルス本体のファイルパスになる
 
破壊されたファイルを復号するのは、要求に屈して身代金の支払いに応じるしかないはずで、淡い期待だけどWindowsのシャドウコピーのバックアップデータが残っていて復元・復旧できないか Shadow Explorer で確認どぞ。
このエントリーをはてなブックマークに追加

ファイル暗号化ウイルスTorrentLocker日本語対応? Crypt0L0cker/偽CryptoLocker
 
ランサムウェアはファイルを暗号化して人質に取り、ファイルの復元や復号を盾に身代金の支払いを要求するコンピュータウイルスです。
 
ransomware の由来は?
 ransom(暗号化) + software
 
実際には、異なる種類だけど「CryptoLocker」と名前が似てる
 
Crypt0L0cker
(アルファベット o が数字の ゼロ で表現されてる)
 
を名乗る TorrentLockerトレントロッカー) という種類のランサムウェアが、ここ数日間で日本国内でも複数の感染被害者を出してるようです。
■ 「Crypt0L0ckerウイルス」というウィルスくらったのですが、ロックされたファイルはすべて削除し、システムの復元で数日前にしました(Win XP)。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10144477570
 
■  光の戦士壱原さんはTwitterを使っています: "【ウィルス Cryptolockerについての注意】 docやxlsの文書だけじゃなくzipやjpgまでも「.encrypted」という拡張子を付けて暗号化してしまい、解除して欲しければ金払え的な脅迫文が生成されます。元祖は英語版だけど亜種で日本語版を今日確認。(続く"
https://twitter.com/Yu_Ichihara/status/590515703167389698
 
■ 光の戦士壱原さんはTwitterを使っています: "続き)元祖版の暗号ファイルを復号化するサービスが海外にあるんけど、ここのサイトは日本語版の亜種には非対応。 感染したらもうファイルを戻す事はほぼ不可能だと思われます…_ノ乙(、ン、)_ バックアップはこまめに取りましょう…。・゚・(ノД`)・゚・。"
https://twitter.com/Yu_Ichihara/status/590516222766219264
んんん? 日本語版!?
 
ググってみると、記事を書いてる時点で日本語の情報はまったくヒットせず、今日21日付の韓国語の注意喚起と思われるがページがなぜかやたら大量にヒットします。
 
Google翻訳コンニャクしてみると、どうもこの身代金の要求ウイルスが韓国語表記に対応したらしく、もしかして同じタイミングで日本語表記も出たんでしょうか?
 
韓国のセキュリティ会社 ALyac
http://blog.alyac.co.kr/305
 
韓国のセキュリティブログ
http://hummingbird.tistory.com/5880
 
ちなみに、TorrentLocker は CryptoLocker とまったく別モノなので、CryptoLocker 向けに無料提供されてるファイル復号化サービスは利用できません!
 
ttps://www.decryptcryptolocker.com/
⇒ ランサムウェアの種類が違うから暗号化の解除に対応してない!
 
現時点で、TorrentLocker ウイルスの復号化サービスというのは存在しません。 <っていうか、そういう逃げ口があったら攻撃手段として採用されるはずがない

感染手口はネットサーフィン中のドライブバイダウンロード攻撃

Windowsパソコンをターゲットにする TorrentLocker ウイルス(偽CryptoLocker)の感染手口の1つは、ネットサーフィン中に強制インストールされるドライブバイ・ダウンロード攻撃です。
  • 改ざん被害を受けてる一般サイトやブログを偶然訪問してしまう
  • 侵害された正規の広告配信サーバーが運悪く読み込まれてしまう
    といった感染経路から地獄へ…
ということで、あらかじめランサムウェアの感染経路をつぶしておくウイルス対策がもっとも重要になります。
  1. Java(JRE) が導入されてるなら最新版に更新されてるか確認する
     
  2. Adobe Reader が最新版に更新されてるか確認する
     
  3. Adobe Flash Player が最新版に更新されてるか確認する特に重要
     
  4. Windows Update が実施されてるか確認する特に重要
 
何だかんだランサムウェアの感染被害に巻き込まれ悲鳴を挙げるのは、更新をすっぽかしてるWindowsユーザーさんたちです。
 
また、上の感染条件に『セキュリティソフトが導入されてるかどうか』が含まれてないところもポイントです。
 
ちなみに、Windows XP はご存知のように2014年4月にマイクロソフトのサポートが終了し、[4]番の Windows Udpate からのセキュリティパッチ配信が停止してるワケで”詰み”の状態です。
TorrentLocker セキュリティ会社の脅威情報
・ Microsoft → Ransom:Win32/Teerac Ransom:HTML/Teerac
 

 
<2015年4月22日 追記...>
 
日本語表記の『ご注意 お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました』として身代金の支払いを要求し、CryptoLocker に成りすますファイル暗号化ランサムウェア TorrentLocker を確認ました。
 
手元のWindowsパソコン上で実際に感染させたので、新たにブログ記事を書きました。 <ランサムウェアのイメージ画像も複数公開!
 
このエントリーをはてなブックマークに追加

↑このページのトップヘ