無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

2016/09

.odin拡張子ファイルに変更被害 ランサムウェアLockyウイルス感染メールに注意!
 
2016年2月に感染キャンペーンが始まった ランサムウェア Locky(ロッキー) は、6月から暗号化済み ファイルの拡張子を 「~.zepto」(ゼプト) に変更するけど、今日9月27日から新たに 「~.odin」(オーディン) に切り替わりました。
 
イメージ 2
脅迫文 _[数字]_HOWDO_text.html と ODINファイル
 
Wikipedia によれば odin は ”北欧神話の主神にして戦争と死の神” だとか。

暗号化対象のファイルの拡張子

先週9月23日時点のウイルス検体(.zepto) を調べたら、約150種のファイル拡張子が暗号化の対象になってました。
 
【9月23日の検体】
.aes .apk .ARC .asc .asf .asm .asp .asset .avi .bak .bat .bik .bmp .brd .bsa .cgm .class .cmd .cpp .crt .csr .CSV .d3dbsp .das .dbf .dch .dif .dip .djv .djvu .DOC .docb .docm .docx .DOT .dotm .dotx .fla .flv .forge .frm .gif .gpg .hwp .ibd .iwi .jar .java .jpeg .jpg .key .lay .lay6 .lbf .ldf .litemod .litesql .ltx .max .mdb .mdf .mid .mkv .mml .mov .mpeg .mpg .ms11 .MYD .MYI .NEF .odb .odg .odp .ods .odt .onetoc2 .otg .otp .ots .ott .PAQ .pas .pdf .pem .php .png .pot .potm .potx .ppam .pps .ppsm .ppsx .PPT .pptm .pptx .psd .pst .qcow2 .rar .raw .RTF .sav .sch .sldm .sldx .slk .sql .SQLITE3 .SQLITEDB .stc .std .sti .stw .svg .swf .sxc .sxd .sxi .sxm .sxw .tar .tar.bz2 .tbk .tgz .tif .tiff .txt .uop .uot .upk .vbs .vdi .vmdk .vmx .vob .wallet .wav .wks .wma .wmv .xlc .xlm .XLS .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .zip
 
新たな .odin になるウイルス検体は何か極端に倍増していて約370種です。
 
イメージ 8
 
【9月27日の検体】
.7zip .aac .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aes .agdl .aiff .ait .aoi .apj .apk .ARC .arw .asc .asf .asm .asp .aspx .asset .asx .avi .awg .back .backup .backupdb .bak .bank .bat .bay .bdb .bgt .bik .bin .bkp .blend .bmp .bpw .brd .bsa .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .cer .cfg .cgm .cib .class .cls .cmd .cmt .config .contact .cpi .cpp .craw .crt .crw .csh .csl .csr .css .csv .d3dbsp .dac .das .dat .db_journal .dbf .dbx .dch .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .dif .dip .dit .djv .djvu .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .edb .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fhd .fla .flac .flf .flv .flvv .forge .fpx .frm .fxg .gif .gpg .gray .grey .groups .gry .hbk .hdd .hpp .html .hwp .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .iwi .jar .java .jnt .jpe .jpeg .jpg .kdbx .kdc .key .kpdx .kwm .laccdb .lay .lay6 .lbf .ldf .lit .litemod .litesql .log .ltx .lua .m2ts .mapimail .max .mbx .mdb .mdc .mdf .mef .mfw .mid .mkv .mlb .mml .mmw .mny .moneywell .mos .mov .mpeg .mpg .mrw .ms11 .msg .myd .MYI .ndd .ndf .nef .nop .nrw .nsd .nsf .nsg .nsh .nvram .nwb .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .onetoc2 .orf .ost .otg .oth .otp .ots .ott .pab .pages .PAQ .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .plc .plus_muhd .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .psafe3 .psd .pspimage .pst .ptx .pwm .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qed .raf .rar .rat .raw .rdb .rtf .rvt .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sch .sda .sdf .sldm .sldx .slk .sql .sqlite .sqlite3 .sqlitedb .srf .srt .srw .stc .std .sti .stm .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .tar .tar.bz2 .tbk .tex .tga .tgz .thm .tif .tiff .tlg .txt .uop .uot .upk .vbox .vbs .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .wab .wad .wallet .wav .wks .wma .wmv .wpd .wps .xis .xla .xlam .xlc .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

ウイルス付き迷惑メールの添付ファイル

イメージ 4
リコー製複合機からのデータ受信を装う添付ファイル付き迷惑メール
 
イメージ 5
契約の合意書を装う添付ファイル付き迷惑メール
 
ウイルス感染経路の1つである英語表記の迷惑メール には、不正な Windows Script ファイル(拡張子 .wsf) や JScript Script ファイル(拡張子 .js) を含んだZIP形式の圧縮アーカイブが添付されてます。
 
イメージ 1
ダブルクリック厳禁!!! スクリプトウイルス(拡張子 .wsf)
 
イメージ 3
ダブルクリック厳禁!!! スクリプトウイルス(拡張子 .js)
 
 
これをWindowsユーザーさんに 文書画像 と思い込ませておいて ダブルクリック で踏んでもらう魂胆なので、不正なファイルと見抜き踏まないよう対処するのが理想…。
 
だけど、現実には ファイルの種類 について知識を持たない影響で、必ずしもそれが実現できないのを見越して、odinウイルスの侵入を未然に防ぎ被害を回避できるランサムウェア対策はコチラ。
 
 

 
[10月3日 追記...]
 
odinウイルスを送り込む英語表記な迷惑メールの添付ファイルとして、マクロウイルス/マクロ感染型ウイルス も投入されたのを確認してます。  
 
イメージ 7
信用調査会社からの Invoice(請求書)を装う迷惑メール
 
イメージ 6
本文なく 領収書(Receipt)を装う迷惑メール
 
この場合も、ワード文書(拡張子 .doc) や エクセルファイル(拡張子 .xls) を 不正なファイル と見抜いて踏まないよう対応するのが理想だけど、現実ムリで ”うっかり” をやらかすのを前提にする有効なランサムウェア対策はコチラ!
 
このエントリーをはてなブックマークに追加

サポート詐欺&PC遠隔操作 ジャパンテクニカルサポートセンターに注意
 
さっ、サポート詐欺…!?
 
http://www.japantechsupport[.]com/
 
イメージ 1
サポート料金 シルバープラン ゴールドプラン プラチナプラン
 
電話で問い合わせると日本人ではない片言の変な日本語を話す怪しい外国人が登場し、促されるがまま遠隔操作ソフトをインストールするよう仕向けて ”調査” と称したPC遠隔操作が実施される!
  • JapanTechSupport
  • Japan Tech Support
  • ジャパンテクニカルサポートセンター
  • ジャパンテックサポート
  • FireflyFramer
  • 24TekNFix
  • 365TechAid
  • 365テックエイド
■ 偽の警告画面にだまされないで! インターネットを利用中に、「ウイルスに感染しました!」「パスワード情報がリスクに晒されています!」等の警告画面と電話番号が表示され、電話をかけさせるという事案が発生しています。 (警視庁)
http://www.keishicho.metro.tokyo.jp/sodan/nettrouble/jirei_other/warning_screen.html
 
“ウイルスに感染した”という偽警告でサポートに電話するように仕向ける手口に注意 電話をかけてしまった場合の懸念と対応 (IPA 情報処理推進機構)
 
怪しい外国人がPC遠隔操作? 偽警告の消し方と電話サポート詐欺の手口 海外では前から確認されてる脅威だけど 電話サポート詐欺 とか 技術サポート詐欺 と呼ばれる手口が2015年に日本に上陸
http://tech.g1.xrea.com/notes/tech-support-scam.htm
 
ウェブサイト閲覧中のニセの警告音にだまされないで - 国民生活センター
http://www.kokusen.go.jp/mimamori/mj_mailmag/mj-shinsen270.html
 
PC遠隔操作されてPCサポート契約まで結んでしまった場合は、消費生活センターに「パソコンのサポート詐欺」にあったとして返金方法を指南してもらったユーザのお話もあり、相手業者と英語でやり取りが必要みたいではあるけど…。
 
和訳してもらえませんか? - ジャパンテクニカル... - 英語 | Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11168630101

相手に言われるがまま高額のサポート契約

日本ではなく海外の素性不明な会社です。
 
イメージ 2 
PCサポート契約と料金支払いのページと思われる
返金ポリシー
NetPaySys オンライン販売にて購入した殆どすべての製品は、購入日から30日以内は返品可能で、返金対象となっています。
ただし弊社の製品の一部は、直接お客様のコンピュータにダウンロードするソフトウェアなど、無形で取り消し不能の商品となっているため、これらの製品は、納品されお客様のコンピュータにインストールされた後は全額の返金はできなくなっております。
例外的な状況においては、クレジットノートを発行することになっています。詳しくは、弊社サポートチーム宛てに問い合わせください。
弊社サポートチームは、お客様からの問い合わせに対してタイムリーで専門的なサポートを提供しています。
お問い合わせは、電話、電子メール、もしくは弊社セルフサービスポータル bill-access.com にて受け付けています。
Yahoo!知恵袋より、騙されてしまうユーザーさんの多くはサポート詐欺の手口を知らず、ドコの誰と契約を結ぼうとしてるのか正確に認識できてないまま個人情報や金融情報を躊躇せず送信しているユーザーさんがいます。
 
■ ネット閲覧中に警告音とともにこのサポートに連絡しろ、という内容のメッセージが出ました。とりあえずそこに連絡してみたところ、問題解決のためのサービスについて案内があり、ウィンドウズのオフィシャルだということを言われたこともあり、2+1年契約でPCサポートのサービスを契約してしまいました。料金は366ドル(約37,000円)でした
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13164895018
 
PCを遠隔操作される以前にユーザーの心が操られてしまってる一連の流れは、手口はもち異なるけど 振り込め詐欺(オレオレ詐欺) で指示されるがまま金融機関に走る状況にも通じる?
関連するブログ記事
このエントリーをはてなブックマークに追加

Adobe Flash Player 23.0.0.162リリース ウイルス対策にアップデート重要
 
イメージ 1
Windowsパソコン狙ったウイルス感染経路の1つになってる無料ブラウザアドオン Adobe Flash Player の最新バージョンがリリース♪
 
バージョン 23.0.0.162
 
 
脆弱性の修正26件を含むセキュリティアップデートということで、最新バージョンにアップデートされてることがものスゴく超重要です。
 
Security updates available for Adobe Flash Player APSB16-29 - Adobe Security Bulletin
https://helpx.adobe.com/security/products/flash-player/apsb16-29.html
 
Flash Palyer を旧バージョンのまま更新しないで放置してると、ネットサーフィンしてる途中で ランサムウェアなどウイルスが強制感染してしまう原因 になってます。
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ