無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/06

| ✏️ Firefly

Photos迷惑メール添付のZIPファイルから拡張子js Bartウイルス感染被害
 
ランサムウェア Locky の感染を狙った迷惑メール の配信キャンペーンが2016年6月の第4週に復活し、以前からバラ撒かれてたパターンだけど見ず知らずの外国人から Photos(写真) の送信を装った迷惑メールも再び着弾~。
件名 Photos
差出人 ~@yahoo.es / ~@yahoo.co.uk / ~@yahoo.com
添付ファイル photos.zip / image.zip / picture.zip
本文 (なし)
本文ないけど、添付ファイルが気になって確認したくなるトラップです。

添付ファイルの詳細

ZIP形式の圧縮アーカイブを解凍・展開 すると JavaScriptファイル/JScript Scriptファイル拡張子 .js)が登場するので、これをユーザーの意思でポチポチっとダブルクリックして開いてしまえば感染アウトとなります。
 
イメージ 1
「DOC-[数字].js」 JScript Script ファイル
画像じゃないことはファイルの種類(拡張子)で分かる♪
 
不正なスクリプトウイルスをダブルクリックする
不正な実行ファイルをダブルクリックすることに等しい
 
このjsファイルは、外部ネットワークから何か↓Windows向け実行ファイルをダウンロードしてきて起動する役割を持ってます。
 
MD5 846171e2629b712429a903811d19c12b
www.virustotal.com/ja/file/5d3e7c31f786bbdc149df632253fd538fb21cfc0aa364d0f03a79671bbaec62d/analysis/1466772181/
 
ちなみに、動作環境はWindows XP/Vista/7/8/10パソコンで、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー、テレビ あたりは関係なし!

ファイルを暗号化するランサムウェア感染

最初は Locky ランサムウェアウイルスかと思ったらどうも違うようで、別の新しいランサムウェア Bart を落とし込むみたい?
 
Doh! New "Bart" Ransomware from Threat Actors Spreading Dridex and Locky | Proofpoint
https://www.proofpoint.com/us/threat-insight/post/New-Bart-Ransomware-from-Threat-Actors-Spreading-Dridex-and-Locky
 
 
[追記...]
 
ひとまず新しいランサムウェア Bart(バート) を単体で動かしてみると、ファイルを暗号化した趣旨を案内するテストファイルや壁紙用BMPファイルは、Locky の脅迫文 をそのまま流用してます。 <英語
 
イメージ 2
Bart感染時の脅迫文ファイル recover.bmp recover.txt 
!!! IMPORTANT INFORMATION !!!
All your files are encrypted.
Decrypting of your files is only possible with the private key, which is on our secret server.
To receive your private key follow one of the links:
(~以下略~)
暗号化処理は独自のものではなく、オリジナルのファイルを パスワード付きZIP形式の圧縮アーカイブ に変換する手法を採用していて、その拡張子は「~.bart.zip」に変更されました。
 
イメージ 3
圧縮ファイル「[ファイル名].bart.zip」だらけに…
 
イメージ 4
パスワード分からず復元・復号できないと
 
セキュリティ会社のBartウイルス検出名
 
ESET Win32/Filecoder.Bart
Kaspersky Trojan-Ransom.Win32.Bart
Microsoft Ransom:Win32/Bartcrypt.A
Symantec Trojan.Ransomcrypt.BA
Trend Micro Ransom_BART.A Ransom_BARTZ.A RANSOM_BARTZ.B
 
 
[2016年7月21日 追記...]
 
オランダ/チェコのセキュリティ会社 AVG Technologies から 暗号化ファイル復号ツール AVG Decryption Tool for Bart がリリースされました。 <パスワード付きZIPファイルを解読するライブラリ PkCrack というのがアルのね~
 
Bart’s Shenanigans Are No Match for AVG | AVG Now Blog
http://now.avg.com/barts-shenanigans-are-no-match-for-avg/


[2017年4月 追記...]

ルーマニアのセキュリティ会社 BitDefender からもランサムウェアBartファイル復号ツールがリリース~。

Bart Ransomware Decryption Tool Released; Works for All Known Samples | Bitdefender
https://labs.bitdefender.com/2017/04/bart-ransomware-decryption-tool-released-works-for-all-known-samples/
関連するブログ記事
タグ :
#Windows
このエントリーをはてなブックマークに追加

| ✏️ Firefly

迷惑メールでランサムウェアLocky感染実例 添付ファイルjs拡張子が危険!

イメージ 7
Image いらすとや

Windowsパソコンをターゲットに、2016年2月から継続して投入されてる ランサムウェア Locky(破壊されたファイル拡張子 .osiris .zepto) の感染 へ導く英語表記の 迷惑メール(スパムメール)

イメージ 1
Lockyランサムウェアの感染経路はメール由来が圧倒
(出典 トレンドマイクロ 2016年第1四半期

先月2016年5月下旬を最後にこの迷惑メールがなぜかパタリと止んでいたけど、これはメール配信で使われてるボットネット Necurs… 遠隔操作されてるWindowsパソコンたちの活動がほぼ休止状態になってたからだとか。

It's Quiet...Too Quiet: Necurs Botnet Outage Crimps Dridex and Locky Distribution - Proofpoint
https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution

サイバー犯罪集団が使う Locky、Dridex、Angler の活動が急に停滞 - Symantec

英文メールの配信キャンペーン再開

ただ、昨日6月22日にメール配信キャンペーンが復活した模様で、手元にも以前から来る 「金銭の支払い請求書」 パターンの英文メールを受信しました。

イメージ 2
英語表記のウイルスメール実例 添付ファイルがキモ!
【Loclyウイルスメールの件名例 6月22日~】
Documents copies
Financial report
new invoice
report
Updated
Updated document
Final version of the report
Payment
Corresponding Invoice
Re:
先週公表された旅行会社 JTB の情報漏えい事件は、標的型サイバー攻撃ということで航空会社 ANA に成りすます日本語メールだったそうだけど、この迷惑メールは広く世界中の不特定多数にバラ撒かれてます。

メールに添付されてるのはzip形式の圧縮アーカイブ なので手動で解凍・展開してみると、不正な JavaScript ファイル / JScript Script ファイル(拡張子 .js)が登場します。

イメージ 3
スクリプトファイル 「unpaid-[数字].js」

ダブルクリックして開くとLocky感染

メールソフトがサポートする メッセージのプレビュー機能でウイルスが自動的に起動する ことはなく、このjsスクリプトファイルをユーザーの意思で ダブルクリック すると攻撃を喰らいます。

= Windows狙いのスクリプトウイルス =
Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケーは関係なし!

ちなみに、JSファイルの中身をテキストエディタで覗くと、コードが難読化されていて処理がイマイチ把握できず、この影響で セキュリティ製品でファイルスキャンしても(ウイルス定義データで対応される前は)脅威と判定できずスリ抜けます

イメージ 4
英数字や記号のズラズラ羅列で何するのか分かない

さっそく手元で故意にダブルクリックして踏んでみたところ、外部ネットワークからナゾの実行ファイル(拡張子 .exe)がダウンロードされてきてスッと起動したのでした。

イメージ 5
wscript.exe の下に実行ファイル!? ウイルス感染の瞬間

感染した Lockyウイルス は文書/画像/圧縮ファイルをドンドン暗号化していき、拡張子が 「~.locky」「~.zepto」「~.osiris」 に変更されて開けなくなったところで初めてユーザーが異変に気づきます。 <破壊され終わってからではもう遅い

イメージ 6
Lockyランサムウェア感染時のデスクトップ壁紙

Lockyランサムウェア の実行ファイルは、セキュリティ製品でクロと判定されない新鮮な亜種検体が逐一投入されており、これは感染キャンペーンが終わらないかぎり ”イタチごっこ” が展開されます。

> www.virustotal.com/ja/file/887c8a774faaec8d3edea9e920034e0a68f6768cf14eee3218e5eb0603e97329/analysis/1466676782/

ランサムウェアの感染を防止する無料対策

セキュリティ製品は身代金ビジネスを妨害する形なので、攻撃者によって何だかんだ出し抜かれる恐れが常にあります。

そこで、お金をかけずに不正なファイルを無害化したり、外部ネットワークと通信する処理を制限する効果的な 無料ウイルス対策↓ を実施して、この攻撃を100%確実に失敗させることをオススメします。
関連するブログ記事
タグ :
#Windows
このエントリーをはてなブックマークに追加

| ✏️ Firefly

Flash Player 22.0.0.192リリース ランサムウェア身代金ウイルス感染対策に更新を
 
イメージ 1
Windowsパソコンを狙って コンピュータウイルスをネットサーフィン中に問答無用で強制インストール させる攻撃手口でも悪用されてる無料ブラウザアドオン Adobe Flash Player の最新バージョンがリリース♪
 
22.0.0.192
 
 
すでに限定的な標的型攻撃での悪用が確認されてるという1件の脆弱性(CVE-2016-4171)が修正されてるは~ず。
 
Security Advisory for Adobe Flash Player APSA16-03 Adobe Security Advisory
https://helpx.adobe.com/security/products/flash-player/apsa16-03.html
 
ファイルを暗号化して身代金を要求するランサムウェアの感染被害に巻き込まれる原因の1つが、Adobe Flash Player を最新版へ更新しないでウイルス感染経路にしかならない旧バージョンのまま放置 となってます。
 
たった数分程度の更新作業をやらなかった結果が、数年分の文書ファイルや思い出の写真をウイルスに破壊され尽くし失うってことほど悲劇な話はなし~。
 
 
[17日 追記...]
 
計36件の脆弱性の修正ってことで、一般のWindowsユーザーに広く影響するウイルス感染攻撃が始まる前にとにかく更新必ず~♪
 
Security updates available for Adobe Flash Player APSB16-18 (Adobe Security Bulletin)
https://helpx.adobe.com/security/products/flash-player/apsb16-18.html
タグ :
#ソフトウェア
このエントリーをはてなブックマークに追加

↑このページのトップヘ