無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/10

.thor/.shit拡張子に変更? Lockyウイルスの迷惑メール&添付ファイルに注意!
 
イメージ 5
(Image いらすとや)
 
ファイルを暗号化して復旧に身代金の支払いを要求するランサムウェア の1つ Locky(ロッキー) に攻撃された場合、見に見える最初の異変がファイル名の変更だけど、10月24日から新たに 『 [32ケタ英数字].shit 』 に切り替わりました。
 
イメージ 3
開けない SHITファイル と脅迫文 _[数字]_ WHAT_is.html
 
英語の shit(シット) は、何か怒ってる人が日本語で言うところの「クソッ!」と吐き捨てる時とかに使われる表現です。

迷惑メールの添付ファイルは?

Lockyランサムウェアの主要な感染経路になってる 英語表記の迷惑メール には、添付ファイルとしてZIP形式の圧縮アーカイブ が付いてます。
 
圧縮アーカイブを手動で解凍・展開すると、中身として次の ファイル形式 が登場するのを手元で確認してます。
 
イメージ 1
添付ファイルの圧縮アーカイブからそれぞれ寄せ詰め
この不正なファイルをWindowsパソコン上でポチポチっと ダブルクリック して開いてしまうと、ランサムウェア本体が外部ネットワークからダウンロードされてきてシレッと起動し感染となります。
 
イメージ 2
ランサムウェア本体をダウンロードする通信の様子
 
【VirusTotalファイルスキャン例】
www.virustotal.com/ja/file/495ab0504d4f6370810811c74792de1e4cd19d1fc32358db14587a5bd721d9b9/analysis/1477400023/
www.virustotal.com/ja/file/c23facdb56953fa3abd997a078e48f833a310c11ba1c5f14016961b9b78f575d/analysis/1477296084/
www.virustotal.com/ja/file/b54802e6f6430c75d0683140ef0529c6603418b4ef602d80e85aaa88fe730c79/analysis/1477330503/
 

ウイルスメールのランサムウェア対策

ランサムウェアの被害を回避するには、これら不正なファイルを踏まなければいいワケだけど、現実はなかなか厳しくて 見抜けずうっかり踏み抜くユーザーさんが必ず一定数出現する ので、それを見越した有効なウイルス対策はコチラ♪
 
■ ファイルの拡張子の関連付けを変更する、Windowsスクリトプ実行環境の設定を変更する ⇒ スクリプトが処理されず.thor/.shitウイルスの感染失敗!
 
 
■ ファイアウォールのアウトバウンドでキモとなる実行ファイル wscript.exe と mshta.exe の通信をブロックする ⇒ ダウンロード処理が起こらず.thor/.shitウイルスの感染失敗!
 
 

 
[10月26日 追記...]
 
Lockyランサムウェアは暗号化済みファイルの目印として、新たに 『 [32ケタ英数字].thor 』 の変更へと切り替わりました。
 
イメージ 4
ランサムウェアによってTHORファイルの白紙アイコンに変更
thor 《北欧神話》トール, ソー:雷・雨・農業の神.
dictionary.goo.ne.jp/srch/all/thor/m0e
何か問題でもあったのかいな? <25日夜にわずか数日で…
 
【VirusTotalファイルスキャン例】
www.virustotal.com/ja/file/5948ceff8012d80f9b2dcef7316aa94d3a171d309c78e6b021b6af6928f16a0d/analysis/1477403426/
関連するブログ記事
このエントリーをはてなブックマークに追加

Java 8 Update 111リリース Teoma Search App/Amazonアシスタント導入提案に注意!
 
ここ数年は悪用される機会がめっきり減ったけれど、旧バージョンがウイルス感染経路の1つになってる無料プログラム Java(JRE) の最新バージョンがリリース。
 
Java 8 Version 111
(1.8.0_111)
 
 
7件の脆弱性の修正を含むセキュリティアップデートということで、導入してるユーザーさんは無料ウイルス対策として更新されてることが必須!
 

Teomaツールバー&Amazonアシスタントに注意

ラインインストーラの方には、余計で不必要ソフト Teoma Search App(実体は Ask Toolbar)の同時導入提案が表示されます。 <チェックマークは最初から入ってない
 
イメージ 1
Teoma Search App インストールのご案内
 
念押しの導入提案シーンがあるものの、ユーザーの意思でチェックマークをポチッと入れない限り Teoma Search App は勝手に導入されることはありません。
 
イメージ 3
 
お奨めのオファー: チェックボックスを1つまたは両方選択して、Teoma Search App を受け入れてください。または「次へ」をクリックして Java インストールに進んでください
 
あと、Amazon アシスタント が提案されるパターンもあります。<こっちはチェックマークが最初から入ってるので注意
 
イメージ 2
予備のオファー: Amazon アシスタント
 
何だかんだユーザーに導入趣旨をちゃんと提示し問答無用で強制インストールさせる形にはなってないから、書かれてあるメッセージをまったく読まないユーザーだけ導入してしまう?
 
Teomaオプション・オファー - Java ヘルプ
https://www.java.com/ja/download/faq/teoma.xml
 
Amazonアシスタント・オプション・オファー - Java ヘルプ
https://www.java.com/ja/download/faq/amazon.xml
このエントリーをはてなブックマークに追加

偽警告Microsoftスペシャリスト待機中 有害なウイルスやマルウェアの危険 サポート詐欺に注意
 
イメージ 4
Image いらすとや
 
変な日本語を話す怪しい外国人が電話&PC遠隔操作ソフトを介して、操られるがまま言われるがまま 有償サポート契約 を結ばせる サポート詐欺
 
ウェブサイト閲覧中のニセの警告音にだまされないで - 国民生活センター
http://www.kokusen.go.jp/mimamori/mj_mailmag/mj-shinsen270.html
 
この入り口である悪質な 偽警告ページ の紹介です。<残念ながら日本人ユーザーのサポート詐欺の被害が複数挙がってる

ウソデタラメの偽警告がブラウザに!?

普通にネットサーフィンしてると、いきなり突然リダイレクトがかかって目の前に偽警告ページが現れて、衝撃的な情報でユーザーをパニック状態に陥れます。 <「ピピッ」ってな音声も1回流れる
 
イメージ 1
『有害なウイルスやマルウェアの危険』で頭の中は真っ白!?
 
警告!
お使いのパソコンは、有害なウイルスやマルウェアの危険にさらされている可能性があります。これらのプログラムは、アダルトやTorrent関連のウェブサイトを閲覧している際、知らぬ間にパソコンにインストールされることがよくあります。
{今すぐに保護}
 
イメージ 2
進行バーが伸びる動くアニメーションで偽スキャンのシーン
 
お待ちください
ダウンロード 検索中
アプリ 検索中
アプリ 検索中
システムファイル 検索中
システムレジストリ 検索中
 
イメージ 3
電話番号03-4570-4334へ問い合わせるよう誘惑する最終シーン
 
Microsoftスペシャリスト待機中

無料の診断スキャンを実行してシステムのクリーンアップと最適化を行うには、今すぐスペシャリストまでお電話ください。
情報
リスク: 不明
保護:
ステップ1: Microsoftスペシャリストまでお問い合わせください。
ステップ2: 無料の診断スキャンを受ける。
ステップ3: 検出された感染を削除し、PCのパフォーマンスを最適化します。
今すぐお電話03-4570-4334

 
冷静に物事を判断できなくなり焦ってる一部のユーザーさんは、書いてあるウソデタラメな情報をまったく疑うことなく鵜呑みにして、提示されたサポート電話番号へ問い合わせる誤った行動をとってしまいます。
 
電話先はマイクロソフト無関係で「Microsoftスペシャリスト」でもなんでもない 海外のサイバー犯罪者に雇われた外国人 で、『遠隔操作でパソコン調査してアゲるヨぅ』というしつこい提案に乗ってしまうと。 <心理的に振り込め詐欺にダマされるのと同じ
関連するブログ記事

このエントリーをはてなブックマークに追加

↑このページのトップヘ