ここから本文です
無題な濃いログ
PCのセキュリティ情報、ウイルス感染駆除削除、Yahoo!ショッピング通販を書き出してるブログです (*´_`*)ノ

書庫全体表示

送信者が自分のメアド? 迷惑メールの正体とdocm/wsf/js拡張子ファイルに注意!
 
{{{ 2016年7月 更新 }}}
 
本文らしい文章はないものの、送信者が 自分自身のメールアドレス に偽装されてる英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 Document[1〜2ケタの数字] / Document [1ケタの数字]
差出人 <自分自身のメールアドレス>

本文 (なし)
件名 Image[数字].pdf
差出人 <自分自身のメールアドレス>
Sent from my Sony Xperia™ smartphone
件名 doc[数字] / DOC[数字] / SCAN[数字] / FILE[数字] / document[数字] / Document[数字] / Emailing: Image ([数字]).gif / Emailing: Image ([数字]).jpg / Emailing: Image ([数字]).pdf / Emailing: Image ([数字]).png / Emailing: Picture ([数字]).gif / Emailing: Picture ([数字]).pdf / Emailing: Picture ([数字]).png / Attached: IMG([数字]) / Attached: Receipt([数字]) / Attached: Photo([数字]) / Copy: IMG([数字]) / Copy: Photo([数字]) / Copy: Picture([数字]) / Emailing: IMG([数字]) / Emailing: Photo([数字]) / File: Photo([数字]) / File: Picture([数字]) / Copy: INV([数字])
本文 (なし)
添付ファイル [件名と同じ].zip
件名 Document (1).pdf / CCE29032016うんたら〜系 ( CCE29032016_00000 CCE29032016_00008 CCE29032016_00025 CCE29032016_00040 CCE29032016_00046 CCE29032016_00061 CCE29032016_00063 CCE29032016_00070 CCE29032016_00074 CCE29032016_00076 CCE29032016_00077 CCE29032016_00081 CCE29032016_00085 …)
差出人 <自分自身のメールアドレス>
本文 (なし)
件名 Photos [数字]
差出人 <自分自身のメールアドレス>

Envoyé de mon Galaxy S6 edge+ Orange
件名 Attached Image
差出人 <自分自身のメールアドレス>
The information in this email is confidential and may be privileged.
If you are not the intended recipient, please destroy this message and notify the sender immediately.
自分に宛ててファイルを送信したかのような状況で目に留まらざるをえず、でもサッパリ身に覚えがないけど 気になって添付ファイルを確認したくなる 巧妙な手口です。  <心理的なうまくスキを突いてる

圧縮ファイルの中身はスクリプト?

件名とほぼ同じ名前が付けられた添付ファイルは、ZIP形式やRAR形式の圧縮アーカイブとなっていて、中は何か表面的に分からないことも興味をそそらせます。
 
圧縮アーカイブをで解凍・展開してみたら、JavaScript/JScript Scriptファイル(拡張子 .js)や Windows Scriptファイル(拡張子 .wsf) が登場しました。
 
自分が自分宛てに”文書”を送信!?
 
イメージ 1
Document1.zip Document2.zip Document7.zip など
 
 
イメージ 2
ダブルクリック厳禁! 決して文書ではない
 
【メールの添付ファイル】
Document[1〜2ケタの数字].zip / Document [1ケタの数字].zip
 ↓ ユーザーが解凍・展開する
[英数字].js
Document[数字].js
 
【メールの添付ファイル】
[件名と同じ].zip / [件名と同じ].rar
 ↓ ユーザーが解凍・展開する 
CCE29032016_[数字].js
[英数字].js
 
自分が自分宛てに”画像”や”写真”を送信!?
 
イメージ 3
Imageうんたら〜.zip
 
 
イメージ 4
ダブルクリック厳禁! 画像ファイルではありません
 
イメージ 7
ダブルクリック厳禁! 決してJPEG写真ではない
 
【メールの添付ファイル】
Image[数字].zip
 ↓ ユーザーが手動で解凍・展開する 
[英数字].js
 
【メールの添付ファイル】
20160404_[数字]_resized.zip
 ↓ ユーザーが解凍・展開する
20160402_[数字]_resized.js
 
イメージ 10
ダブルクリック厳禁! 画像や写真ではありません
 
【メールの添付ファイル】
IMG([数字]).zip / Photo([数字]).zip / Picture([数字]).zip
 ↓ ユーザーが解凍・展開する
Picture[数字].wsf
IMG[数字].wsf

 
ちなみに、この攻撃はあくまでWindowsパソコンだけ対象であり、Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー は動作せず影響なし♪

ダブルクリックでファイル暗号化ウイルスに感染!

このjsファイル、wsfファイルを Windowsパソコン 上でポチポチっとダブルクリックして開いたところ ランサムウェア(身代金型ウイルス) の1つ
 
Locky(ロッキー)
 
が外部ネットワークからひっそりダウンロードされてきて起動し感染してしまいました。 <文書・画像・動画ファイルが破壊されて身代金払えとなる
 
 イメージ 5
不正なJSファイルを実際にダブルクリックして開く
スクリプト処理 wscript.exe の下にナゾの実行ファイルがー

 
この実行ファイルをオンラインスキャンサイト VirusTotal に投げると、セキュリティソフトの定義データでの対応状況は…。 <常に新鮮な亜種が投入され続ける
 
www.virustotal.com/ja/file/ddb80a24da8bec08eeac77e0a7ea13e48805a302290555d4bcb5d86d9080b13c/analysis/1458217419/
 

 
[追記...]
 
送信者が自分自身のメルアドに偽装されていて、添付ファイルが ワード文書(拡張子 .doc または .docm)のパターンも投入されてます。
件名 Document(1) / Document / [英数字] / File: [英数字] / Scan: [英数字] / RE [英数字] / Emailing [英数字] / FW: [英数字] / MSG: [英数字] / File: [英数字] / Documents from work / Attached Image
差出人 <自分自身のメールアドレス>
本文 (なし)
添付ファイル Document(1).doc / Document 2.docm / [ランダム英数字].docm / Untitled(1).docm / [数字]_[数字].docm
イメージ 6
 
イメージ 8
 
イメージ 9
 
これらは マクロウイルス と呼ばれるブツで、Windows向け Microsoft Word で開き、マクロの動作を許可してしまうと Lockyウイルス の感染です。 <Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー はやはり影響なし

スクリプトウイルスとマクロウイルスの対策!

怪しいメールを開くな!』と言われるけど、一方で人間は ヒューマエラー を起こすことが過去の様々な事故で分かってます。 <心意気で防げってのは無謀
 
そこで、”怪しい”と見抜けないユーザーさんが一定数出現するのは当然と考えて、それを前提に ランサムウェアの侵入を防ぐ無料対策 をオススメします!
 

この記事に

  • 顔アイコン

    > kiy*t*kiyok* さん
    メール削除で問題ないです

    > yasu さん
    Windowsユーザーに踏ませるのが狙いです
    iPad = iPhone なので対象外〜

    [ Firefly ]

    2016/3/25(金) 午後 8:10

    返信する
  • > Fireflyさん
    ありがとうございました!

    [ kiy*t*kiyok* ]

    2016/3/25(金) 午後 8:24

    返信する
  • 顔アイコン

    > Fireflyさん
    安心しました。
    ありがとうございました。

    [ yasu ]

    2016/3/25(金) 午後 9:19

    返信する
  • 顔アイコン

    > Fireflyさん
    今ところ何も異常はなったです。
    ありがとうございました。

    [ あさり ]

    2016/3/28(月) 午後 0:02

    返信する
  • 顔アイコン

    [4月7日 追記...]のメール、私も本日届いておりました…。
    まぁマクロで怪しげで基本Word使わないので削除して無視だなと思いましたが、同様のものが過去にないかな?と検索かけたらまさかの当日。
    これはたくさん撒いてそうですね。 削除

    [ tes ]

    2016/4/7(木) 午前 11:11

    返信する
  • 顔アイコン

    いやー見事に引っかかってしまいました
    お遊び半分で開けたらAviraが反応してびっくりしましたね。
    調べてみたらJS/Dldr,Locky,kxcというウイルスなんですがLockyというファイルが一つも表示されてないので、これって問題ないんですかね

    [ kou*ar*us*zu*i050* ]

    2016/5/24(火) 午後 10:38

    返信する
  • 顔アイコン

    Windows狙って身代金ウイルスLockyの感染を企む迷惑メールが平日に引き続き受信して止まらんねぇ〜

    パソコンの損害よりも前に、まずは「人間の脳ミソ」の方をダマす手口だから超注意!

    【パターン1】
    ZIPなど圧縮ファイル ⇒ 展開すると中身は.jsファイル ⇒ ダブルクリックで感染アウト!

    【パターン2】
    ワード文書 .doc .docm ⇒ ダブルクリックで開く ⇒ コンテンツの有効化ボタンを押すと感染アウト!

    [ Firefly ]

    2016/5/26(木) 午後 8:11

    返信する
  • 顔アイコン

    こんばんは。
    先ほど自分のアドレスから
    自分のスマホ(Xperia)に
    Document3843171.zip
    という添付ファイル付きのメールが届き、
    いつの間に?と思い、
    添付ファイルを開いてしまいました。
    ファイルの中は文字化け?
    のようになっていて、
    何が書いてあるのかはさっぱり…でした。
    開いてしまった時点でまずいでしょうか?
    不安です。 削除

    [ あんな ]

    2016/6/28(火) 午前 2:43

    返信する
  • 顔アイコン

    >自分のスマホ(Xperia)に
    スマホや携帯電話は攻撃対象ではないです
    Windows上のみ

    ZIP圧縮ファイルを展開する必要があるけど、スマホだとそこから先に進めない〜

    [ Firefly ]

    2016/6/28(火) 午後 8:12

    返信する
  • 顔アイコン

    本文無しメールが6月27、28日にドバッと撒かれてますかい?

    メールの件名と添付ZIPファイル名が一致してます
    > document数字
    > doc数字
    > FILE数字

    自分宛てにファイル送ったかのよう差出人が偽装されてるので、無視できず確認したくなるユーザーさん続出?

    ウイルスメールきっかけで情報漏洩してしまったJTBの二の舞いにならないよ注意!

    [ Firefly ]

    2016/6/28(火) 午後 8:17

    返信する
  • 顔アイコン

    私のところにはDocumentではなくSCANで届きました。
    スマホ(Xperia)で踏んでしまいましたが、ウイルスソフトのスキャンにかけたら一応大丈夫そうでした…

    [ st**_ra**bo**16 ]

    2016/6/28(火) 午後 11:04

    返信する
  • 顔アイコン

    ZIP.Document.SCAN・・全て送られてきました(^_^;) 私のスマホ
    開きたい好奇心に負けないで良かった。

    [ umeko ]

    2016/6/29(水) 午前 8:43

    返信する
  • 顔アイコン

    日本語のもいっぱい来ますよ。
    タイトル例
    「宅急便お届けのお知らせ」
    「和解の件」
    「返済の件」
    ほとんどが、プログラムをjavascript内部で生成しevalで実行させることで、チェックを難しくさせてます。
    とりあえず、圧縮ファイルの添付を開く時は十分に気を付けた方が良いと思います。

    [ ggg*av*ty ]

    2016/7/2(土) 午前 10:32

    返信する
  • 顔アイコン

    感染の引き金となるファイルの種類(拡張子)に注目する対策で海外からの猛攻勢に対抗を〜

    【日本語メール】
    添付ファイル .zip ⇒ 中身 .exe
    目的 ネットバンキングウイルス感染

    【英語メール】
    添付ファイル .zip ⇒ 中身 .js
    目的 ランサムウェア感染

    [ Firefly ]

    2016/7/2(土) 午後 8:54

    返信する
  • 顔アイコン

    ここ数日、自分のアドレスから自分あてにdocmのファイルを送られていて、気になったので調べてみたら辿り着きました。
    開かないで良かったです。削除しておきます。

    [ yaz*y*zi*16 ]

    2016/7/8(金) 午前 7:55

    返信する
  • 顔アイコン

    迷惑メールがドバドバ着弾してるのでご注意を〜
    7月6日らへんから

    ○ 本文無し
    ○ 添付ファイル (拡張子 .docm)
    [10〜16桁のランダム英数字].docm

    [ Firefly ]

    2016/7/8(金) 午後 9:54

    返信する
  • 顔アイコン

    ここ数日(6/28から)、Xperiaに1日おきに
    届くようになりました。

    ○本文なし
    ○添付はファイルは、*.zipと*.dcomのいずれかです。

    開いたらどうなるんでしょうね。
    何度もくるので、いつか間違って開いてしまいそうです。

    [ nya**ko_gor**oro ]

    2016/7/10(日) 午後 4:56

    返信する
  • 顔アイコン

    先週はランサムウェアlocky/zeptoの感染を企む”自分のアドレス”からWord文書付きドバドバと

    Yahoo!の関連ワード → docm ウイルス/docm メール/拡張子 docm/docm ファイル/docm 開く/docm 迷惑メール/メール 添付 docm

    Macやスマホは攻撃対象ではなし

    [ Firefly ]

    2016/7/11(月) 午後 9:35

    返信する
  • 顔アイコン

    Today's faxという題で、本文なしの.DOCMの添付ファイルが届きました。
    情報ありがとうございました。
    外国からの様です。
    Marianなんて差出人、知りません! 削除

    [ 朋丘 ]

    2016/8/23(火) 午前 8:41

    返信する
  • 顔アイコン

    拡張子.docmファイルを添付したメールが手元にも複数着弾してます

    逆に、以前は見られた拡張子.docファイルを添付したメールはあまり見かけなくなった感じ

    いずれにしても狙いはWindowsにランサムウェアLocky(.zepto)を感染させる目的

    [ Firefly ]

    2016/8/25(木) 午後 9:00

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(1)

本文はここまでですこのページの先頭へ
みんなの更新記事