- HOME
- セキュリティ最新ニュース
- 【注意喚起】メール添付のランサムウェア(身代金ウイルス)を開けてみました。
Security
【注意喚起】メール添付のランサムウェア(身代金ウイルス)を開けてみました。
(2017/05/22 追記)最新ランサムウェアWannaCryの感染動画記事はこちら
(2017/05/10 追記)最新ランサムウェアLocky亜種Osirisの感染動画記事はこちら
実際に怪しいメールを沢山受信しました。
(注:*記事中の操作は検証環境でやっていますのでマネしないでください)
個人のFacebookで、注意喚起をしていたら
「今朝、まさに社内でDocument (数字)の添付ファイルがついたメールを実行してしまった人が居て全員ネットワーク切断して、業務停止してる!」と、連絡をいただきました
これは、広く注意喚起しておかないと。
と、今朝も手元の端末で自身の受信トレイを確認すると。
確認すると4通も怪しいメールが来ています。
- コピー機からのメール?何かスキャンしたか?
(そもそも自身の個人ドメインでcopier@というメールアドレスは作ってない) - 海外のディストリビュータから請求書が来ました。
(何も注文していない) - 刑法309条から312条に抵触して訴えられてます
(訴えられるような悪い事していない) - 自分から自分にDocument (数字)のファイル名だけでメールが届いた
(寝てる間に送ったのだろうか、いやない)
どれも怪しさ爆発です。どのメールも「添付ファイル開いてサインして返して、はよ。」
と言っていますが・・果たして。
添付されているzipファイルを解凍してみました
沢山js(javascript)ファイルが生成されてきます。
(注:*検証環境でやっていますのでマネしないでください)
4通中3通はMACに入っているウイルス対策ソフトがうなりをあげ黒い表示が下記の画像以外にも雪崩のように表示されてきました。
Nemucod 、今話題になっているトロイの木馬です。
Nemucodは、TeslaCrypt(.vvvウイルス)に感染するURLに自動的にアクセスしに行く仕組みを持ったマルウェア(ウイルス)です。
アンチウイルスを抜けて来たjsファイルが居たので読んだ
一通の解凍したjsについてはウイルス対策ソフトのESETをすり抜けてきました。
コピー機からきたメール
を解凍して出て来たjsファイル
どうやって、ウイルス対策の網をかいくぐってきたのか。
普段は一通一通、いちいち目視しないですが、ちょっと読んでみました。
拡大判画像は画像クリック
(コードを画像化しているのでクリックしても安全です。)
大部分は、ほとんど意味をなさない文字列なのですが(おそらくカモフラージュと思われます)
最後の3行でピンク枠で囲っているところを見ると
h ttp:// 〜〜〜〜〜〜〜〜〜〜.exe
何をダウンロードしようとしてるのか、怪しい。
【まとめ】
人力で見分けるのも必要ですが。一通一通やってられないと思いますので自動仕分けする仕組みを2重化するべきです。(UTM & ウイルス対策ソフト)
今週、本当に増えていますのでご注意ください。
(そしてくれぐれも記事中の操作はマネしないでください)
最低限、Windows端末にセキュリティ対策ソフトを、可能であれば、UTM(Check Point)を入れましょう。
Check Pointを事前に設定していればウイルス対策をすり抜けるjsファイルが居ても
- 社内の人が中のjsファイルを実行
- jsファイルの中身のコードが、インターネットの向こう側で感染させようと待ち構えている仕組みに問い合わせ
- 感染させる仕組みがパソコンに身代金ウイルスをインストール
- 身代金ウイルスが次々に共有ファイルをめちゃくちゃにして行く
3.の時点で動きを止めてくれます。
【関連記事】
こちらもどうぞ
.TeslaCrypt Ver3 感染と対策実験レポート(動画)
https://www.takarajoho.com/1916
.vvvウイルス(TeslaCrypt)の感染防止はCheckPointで対応が可能です。その手順について
https://www.takarajoho.com/365
郵政偽メール インターネットバンク被害ウイルスの感染をCheck Pointに止められました。
https://www.takarajoho.com/1057