セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

【注意喚起】メール添付のランサムウェア(身代金ウイルス)を開けてみました。

(2017/05/22 追記)最新ランサムウェアWannaCryの感染動画記事はこちら

(2017/05/10 追記)最新ランサムウェアLocky亜種Osirisの感染動画記事はこちら

実際に怪しいメールを沢山受信しました。

(注:*記事中の操作は検証環境でやっていますのでマネしないでください)

個人のFacebookで、注意喚起をしていたら

「今朝、まさに社内でDocument (数字)の添付ファイルがついたメールを実行してしまった人が居て全員ネットワーク切断して、業務停止してる!」と、連絡をいただきました

これは、広く注意喚起しておかないと。
と、今朝も手元の端末で自身の受信トレイを確認すると。

迷惑メールの数々

確認すると4通も怪しいメールが来ています。

  1. コピー機からのメール?何かスキャンしたか?
    (そもそも自身の個人ドメインでcopier@というメールアドレスは作ってない)
  2. 海外のディストリビュータから請求書が来ました。
    (何も注文していない)
  3. 刑法309条から312条に抵触して訴えられてます
    (訴えられるような悪い事していない)
  4. 自分から自分にDocument (数字)のファイル名だけでメールが届いた
    (寝てる間に送ったのだろうか、いやない)

どれも怪しさ爆発です。どのメールも「添付ファイル開いてサインして返して、はよ。」
と言っていますが・・果たして。

添付されているzipファイルを解凍してみました

沢山js(javascript)ファイルが生成されてきます。
(注:*検証環境でやっていますのでマネしないでください)
4通中3通はMACに入っているウイルス対策ソフトがうなりをあげ黒い表示が下記の画像以外にも雪崩のように表示されてきました。

スクリーンショット 2016-03-23 9.51.07
Nemucod 、今話題になっているトロイの木馬です。

Nemucodは、TeslaCrypt(.vvvウイルス)に感染するURLに自動的にアクセスしに行く仕組みを持ったマルウェア(ウイルス)です。

アンチウイルスを抜けて来たjsファイルが居たので読んだ

一通の解凍したjsについてはウイルス対策ソフトのESETをすり抜けてきました。

コピー機からきたメール
スクリーンショット 2016-03-23 10.45.09

を解凍して出て来たjsファイル

スクリーンショット 2016-03-23 11.20.33

どうやって、ウイルス対策の網をかいくぐってきたのか。

普段は一通一通、いちいち目視しないですが、ちょっと読んでみました。
code

拡大判画像は画像クリック
(コードを画像化しているのでクリックしても安全です。)

大部分は、ほとんど意味をなさない文字列なのですが(おそらくカモフラージュと思われます)
最後の3行でピンク枠で囲っているところを見ると
スクリーンショット 2016-03-23 10.55.25スクリーンショット 2016-03-23 10.55.34スクリーンショット 2016-03-23 10.55.39

h ttp:// 〜〜〜〜〜〜〜〜〜〜.exe
何をダウンロードしようとしてるのか、怪しい。

【まとめ】

人力で見分けるのも必要ですが。一通一通やってられないと思いますので自動仕分けする仕組みを2重化するべきです。(UTM & ウイルス対策ソフト)

今週、本当に増えていますのでご注意ください。
(そしてくれぐれも記事中の操作はマネしないでください)

最低限、Windows端末にセキュリティ対策ソフトを、可能であれば、UTM(Check Point)を入れましょう。

Check Pointを事前に設定していればウイルス対策をすり抜けるjsファイルが居ても

  1. 社内の人が中のjsファイルを実行
  2. jsファイルの中身のコードが、インターネットの向こう側で感染させようと待ち構えている仕組みに問い合わせ
  3. 感染させる仕組みがパソコンに身代金ウイルスをインストール
  4. 身代金ウイルスが次々に共有ファイルをめちゃくちゃにして行く

3.の時点で動きを止めてくれます。

【関連記事】

こちらもどうぞ

.TeslaCrypt Ver3 感染と対策実験レポート(動画)
http://www.takarajoho.com/1916

.vvvウイルス(TeslaCrypt)の感染防止はCheckPointで対応が可能です。その手順について
http://www.takarajoho.com/365

郵政偽メール インターネットバンク被害ウイルスの感染をCheck Pointに止められました。
http://www.takarajoho.com/1057

  • img_cp700_01

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る