ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

Your Amazon order has dispatched迷惑メールでウイルス感染 ランサムウェアLockyが危険

イメージ 4
Image いらすとや


思わず 『ん!?』 となってしまうだろう海外の通販サイト Amazon.com(米国) や Amazon.co.uk(英国) に成りすまし、もっともらしい注文商品の発送通知を装った 偽メール を紹介します。

イメージ 5
添付ファイル付きAmazonウイルスメール事例
件名 Your Amazon.com order has dispatched (#[数字]-[数字]-[数字]) / Your Amazon.co.uk order has dispatched (#[数字]-[数字]-[数字])
送信者 Amazon.com <auto-shipping@amazon.com> / 
Amazon.com <auto-shipping[数字]@amazon.com> / Amazon Inc <auto-shipping[数字]@amazon.com>
Dear Customer,
Greetings from Amazon.com,
We are writing to let you know that the following item has been sent using [Royal Mail/FedEx/DHL Express].
For more information about delivery estimates and any open orders, please visit: http://www.amazon.com/your-account
Your order #[数字]-[数字]-[数字] (received [月] [日], 2016)
Your right to cancel:
At Amazon.com we want you to be delighted every time you shop with us.
ccasionally though, we know you may want to return items. Read more about our Returns Policy at: http://www.amazon.com/returns-policy/
(〜以下略〜)
dispatched の意味 → 発送した

英語の意味が分からず、そもそも日本の Amazon.co.jp ではないので身に覚えがないユーザーさんが圧倒的に多いでしょう。

ところが、この通知メールの差出人はいちおう本物のアマゾン(偽装)になっており、「自分の名義で商品を勝手に注文された!?」 みたいな不安にかられて無視できなくなるユーザーさんが出かねません。

添付ファイルを展開するとウイルス!


これを解凍・展開すると中身に不正な スクリプトファイル(拡張子 .js) が登場したので、Windowsユーザーさんを狙ってダブルクリックで開かせるウイルス感染手口と分かりました。 <自爆感染を企んでる

イメージ 1
注文ORDERの文書? 圧縮アーカイブの中身の画像

【Amazon偽装メールの添付ファイル】
ORDER-[数字]-[数字]-[数字].zip
 ↓ 手動で解凍・展開する
[数字]_[数字]
.js
F-[数字]-[数字]-[数字]-[数字].js

<5月17日 追記始め>

不正な Word文書ファイル拡張子 .docm)が添付された迷惑メールも確認しました。 <添付ファイルの正体は マクロウイルス

イメージ 3

【Amazon偽装メールの添付ファイル】
ORDER-[数字]-[数字]-[数字].docm

<追記終わり>

ちなみに、今でも流行りの手口と紹介するブログの記事を見かけるけど、メールソフトのプレビューや添付ファイルのプレビューでウイルス感染 はありません。 <15年近く前に手口

起動するとランサムウェア Locky 感染

実際に、この.jsファイルをポチポチっとダブルクリックして故意に開いてみました。

すると、外部ネットワークからナゾの 実行ファイル拡張子 .exe) がシレッとダウンロードされてきて起動したのでした。

イメージ 2
wscript.exe の下に実行ファイルが起動し感染の瞬間

この実行ファイルの正体は、Windowsパソコンをターゲットにファイルを暗号化して破壊し、復号することを盾に身代金の支払いを要求する ランサムウェア Locky ウイルス なのでした。

LockyウイルスのVirusTotalファイルスキャン
MD5 b81868c62aff2cce264471e18f773175
www.virustotal.com/ja/file/ed8390885a6bcdda11cb51f8d3c2553625d1c567f221a490450f44d2ac3cec3a/analysis/1462296560/

ファイルスキャンの検出率があまりに低いけれど、マルウェア攻撃者は新鮮な亜種を準備してきて、その後を追うセキュリティ製品の光景は普通に起こるので問題ありません。

スマホは大丈夫?

ちなみに、いずれも Windows XP/Vista/7/8/10 のみ影響する環境となり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんは攻撃対象外で大丈夫です♪

無料ウイルス対策でランサムウェア感染防ぐ

ランサムウェアの感染はゼッタイに避けたい! → 調べると見かける記事パターン
  • 怪しいメールや不審なファイルを開くな
  • 対策製品の導入を (セキュリティソフト、バックアップ機器の宣伝)
そうではなく、このウイルスメール攻撃に対してお金をかけずに100%感染回避を実現する 無料ウイルス対策 が存在するので、やり方は過去の記事をどぞ〜。

関連するブログ記事
最終更新日: 2016/11/21

この記事に

  • 顔アイコン

    自分も危うく引っかかりそうになりました。。。
    ワードマクロ型に。
    これなんですが、添付されたものを開いてしまったのですが、マクロを有効にしない限りは問題ありませんか?
    現状PCに不具合等は確認できないのですが、少し不安です。

    [ pei*5*36 ]

    2016/5/17(火) 午前 11:38

    返信する
  • 顔アイコン

    「ORDER〜.docm」ファイルを開いたあと、[コンテンツの有効化]ボタンを押さないかぎり大丈夫です

    ただ、Office のセキュリティセンターで [すべてのマクロの有効にする] が選択されてたら、単に開くだけでアウトだけど

    画像 → http://blogs.c.yimg.jp/res/blog-10-d7/fireflyframer/folder/1109716/10/33627210/img_6

    [ Firefly ]

    2016/5/17(火) 午後 8:52

    返信する
  • 顔アイコン

    返答ありがとうございます。
    署名のないマクロは実施不可になってるんで大丈夫みたいでした。
    でも、よくこんなこと考えますよね・・・こんなこと考える頭あるなら、もう少し違うところに頭使ったらいいのに。

    [ pei*5*36 ]

    2016/5/18(水) 午前 8:25

    返信する
  • 顔アイコン

    [デジタル署名されたマクロを除き、すべてのマクロを無効にする] が有効なら、そもそもマクロが実行できないので100%セーフですな〜

    [ Firefly ]

    2016/5/18(水) 午後 8:35

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(0)

本文はここまでですこのページの先頭へ
みんなの更新記事