ランサム「Locky」が活動再開か - Wordファイル入りPDFで拡散
2016年に国内でも多数観測されたランサムウェアの「Locky」だが、再びあらたな活動が複数のベンダーによって観測されている。
PhishMeでは、「Locky」の感染を目的としたスパムの拡散を4月21日に確認。今回の感染活動では、従来とは異なり、Officeのマクロファイルを利用。不正送金マルウェアとして知られる「Dridex」の拡散方法と類似していると指摘している。
攻撃に利用されたファイルを解析したKaspersky Labによれば、メールへ添付されていたファイルは、PDFファイルを使用。外部よりファイルをダウンロードするVBAマクロを含むWordファイルがPDFファイルへと埋め込まれていた。
PDFファイルを開くと、Wordファイルが開くしくみで、その際に誤って「編集を有効にする」ボタンをクリックすると、ダウンロードされたランサムウェアによりファイルが暗号化される。暗号化後に追加される拡張子は「.osiris」だった。
今のところ、今回の攻撃キャンペーンで日本語を用いたスパムメールは確認されていないという。しかし、暗号化後に金銭を要求するページは、日本語を含む31カ国語に対応していた。
また今回の攻撃では、国内の一部サーバが踏み台に悪用されていた。問題のサーバは、2016年9月より改ざんされた状態が続いていると見られている。
(Security NEXT - 2017/04/28 )
ツイート
PR
関連記事
ランサム被害で脅迫文、オンライン会議への誘導も - 不動産管理会社
LPガス配送の委託先がランサム被害 - ENEOSグループ会社
2026年最初のMS月例パッチが公開 - ゼロデイ含む脆弱性114件に対応
教務支援システムでランサム被害、情報流出など調査 - 沖縄県立看護大
システムでランサム被害、受注や出荷に遅滞 - 興和江守
年末にランサム被害、提供クラウドに支障なし - 関西総合システム
ランサム被害を確認、納品用ファイルは無事 - オムニバス・ジャパン
まもなく年末年始、長期休暇前にセキュリティ総点検を
ランサム被害で写真や動画が流出、調査を実施 - 横須賀学院
教育支援サービス侵害、ランサムウェアによる個人情報流出の可能性
