ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、ネットの話題を書き出してるブログです (*´w`*)ノ

書庫全体表示

Jaffランサムウェア感染とウイルス対策3つ .sVn拡張子ファイル変更で危険

イメージ 1
Image いらすとや

5月11日から、Windowsパソコンをターゲットに jaff decryptor systemJAFF DECRYPTOR と名乗る悪質な 身代金ウイルス(ランサムウェア) の感染キャンペーンが確認されてます。 <Jaff Ransomware ってな名称で呼ばれてる
  • 5月11日 「jaff decryptor system」
  • 5月23日 「JAFF DECRYPTOR」
  • 6月7日 (もはやユニークな名前を名乗らず)
  • 6月14日 カスペルスキーが無料ファイル復号ツールの提供開始
この危険な脅威は、画像・文書・アーカイブなど特定の拡張子を持ったファイルを暗号化して破壊し、これを元に戻して復元するファイル復号ツール jaff decryptor™ の購入を要求するのが目的です。 <身代金の額は仮想通貨ビットコインで 2.0 〜 0.2 BTC あたり

【セキュリティソフトのウイルス定義名】
ESET Win32/Filecoder.NLI Win32/Filecoder.Jaff
Kaspersky Trojan-Ransom.Win32.Scatter Trojan-Ransom.Win32.Jaff
Microsoft Ransom:Win32/Jaffrans.A Ransom:Win32/Jaffrans!rfn Behavior:Win32/Jaffrans.A!rsm Ransom:Win32/Jaffrans.B
Symantec Ransom.Enciphered Ransom.Jaff FireflyFramer
Trend Micro Ransom_CRYPJAFF Ransom_JADEC W2KM_CRYPJAFF W2KM_JADEC

スマホは大丈夫?

Jaff ランサムウェアの動作環境はWindowsパソコンなので、狙われるのは地球上の全 Windows XP/Vista/7/8/10 ユーザーに限られます。

それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は感染対象ではなく大丈夫♪

Jaffランサムウェアの被害症状

手元で故意に感染したところ、暗号化ファイルはオリジナルのファイル名に小文字で拡張子 「〜.jaff」「〜.wlu」「〜.sVn」 を付け足す形で変更されました。 <5月17日のウイルス検体を調べると対象の拡張子はかなり多い427種

イメージ 4
WLUファイルやSVNファイルで白紙アイコンに

【Jaffウイルスの検体例】
www.virustotal.com/ja/file/5f1fcdfb951dc4642ce136a5d3e6bc42021f8e0cd631975a5eb3842da020531c/analysis/1495024671/

ランサムウェアの脅迫画面

暗号化ファイルと同じフォルダに脅迫文ファイル .html/.txt/.bmp が作成され、デスクトップ画面の壁紙を勝手に切り替える症状も現れます。

【作成される脅迫文ファイル】
ReadMe.html / ReadMe.txt / ReadMe.bmp
READMEwl.html / READMEwl.txt / READMEwl.bmp
README_TO_DECRYPT.html / README_TO_DECRYPTl.txt / README_TO_DECRYPTl.bmp FireflyFramer
README TO SAVE YOUR FILES.html / README TO SAVE YOUR FILES.txt / README TO SAVE YOUR FILES.bmp
!!!!README_FOR_SAVE FILES.txt / !!!SAVE YOUR FILES.bmp
!!!!!SAVE YOUR FILES!!!!.txt / !!!SAVE YOUR FILES!.bmp

イメージ 2
Files are encrypted! Your decrypt ID: [数字]

イメージ 7
英語のメッセージ Your files are encrypted!

【脅迫文ファイルの内容】
{jaff decryptor system
{JAFF DECRYPTOR
Files are encrypted!
To decrypt flies you need to obtain the private key. FireflyFramer
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet FireflyFramer
1 You must install Tor Browser: https://www.torproject[.]org/download/download-easy.html.en
2 After instalation, run the Tor Browser and enter address: http://rktazuzi7hbln7sy[.]onion/
Follow the instruction on the web-site. FireflyFramer
Your decrypt ID: [数字]

暗号化ファイルの復旧

無料ランサムウェア復号ツール を複数提供してるセキュリティ会社 Emsisoft によると 『マルウェア開発者の秘密鍵にアクセスすることなく暗号化ファイルを復元する手段はない』『開発者のミスから他の手段で一部のファイルを復元できる可能性も』 ということで現時点では厳しいそう

Jaff ransomware: The new Locky? - Emsisoft
http://blog.emsisoft.com/2017/05/11/

☆ ロシアのセキュリティ会社カスペルスキーは Jaff ランサムウェアに脆弱性が存在することを発見し、無料ファイル復号ツール RakhniDecryptor で復旧する対応が行われました。 <必要なのは「暗号化ファイル」と「脅迫文テキスト.txt」

いちおう Windows に実装されてる ボリューム・シャドウコピー・サービス が作成したバックアップデータが残存してるなら、暗号化される前のファイルを復元できる可能性があります。 <投稿時点でランサムウェアにはボリューム・シャドウコピーを勝手に削除する処理がない


怪しいセキュリティブログに注意!

ランサムウェアの駆除削除方法を紹介するかのよう装って、実際には SpyHunterReimageWiperSoft、Plumbytes Anti-Malware を導入するよう仕向ける詐欺ブログが Google & Yahoo! の検索結果にやたらヒットするのでご注意をー。

【怪しいセキュリティ情報ブログ】
http://jp.pcmalwareremoval[.]com/
http://removespyware.makepcsafer[.]com/
http://uirusu[.]jp/
http://www.2-remove-malware[.]com/jp/
http://www.4-cybersecurity[.]com/jp/
http://www.cyber-securitylab[.]com/jp/
http://www.freemalware-removaljp[.]com/
http://www.hicpuic[.]tk/jp/
http://www.malwarerid[.]jp/
https://www.removeuninstallpcmalware[.]com/
http://www.tips2-remove[.]com/jp/
https://www.pcrisk[.]com/


これらサイトの多くが機械翻訳による変な日本語の文章で書かれてます。

Jaffランサムウェアの感染経路

2017年5月に Windows の脆弱性を悪用したネットワーク感染で話題になった WannaCry とは異なり、英語表記の 迷惑メール(スパムメール) が第一の感染経路になってます。 ウイルスメール は ランサムウェア感染のもっとも大きい原因

手元で受信してる添付ファイルの形式は4パターンを確認していて、その実物のイメージ画像がコチラです。 拡張子は表示 するよう設定してる?

1》 PDF文書ファイル

イメージ 6
見知らぬ外国人からPDF文書、本文なし

イメージ 3
インボイス請求書 「Your Invoice is attached」

何の変哲もないPDF文書が添付されていて、感染に至るまでにはユーザーに複数の作業を手動で行わせます。
  1. メールに添付されてる PDF文書 を Adobe Reader で開く

  2. PDF文書内に添付ファイルが含まれてる確認ダイアログ が表示されて Word文書拡張子 .docm/.doc) を開くよう仕向ける

  3. Word文書の正体は マクロウイルス で、これを Microsoft Word で開くと 手順案内の画像でマクロを有効化するよう指示する
ユーザーの操作でマクロが有効になり攻撃処理が走ると、外部ネットワークから Jaff ランサムウェアのデータがダウンロードされてきてシレッと起動し感染です。

《2》 zip形式の圧縮アーカイブ × スクリプト

添付されてる圧縮アーカイブを解凍・展開すると、中から Windowsスクリプトファイル拡張子 .wsf) が登場します。

イメージ 5
アーカイブから スクリプトファイル [英数字].wsf

ユーザーの意思でwsfファイルをダブルクリックして開くと、外部ネットワークから Jaff ランサムウェアのデータがダウンロードされてきてシレッと起動し感染です。

《3》 zip形式の圧縮アーカイブ × 実行ファイル

添付されてる圧縮アーカイブを解凍・展開すると、中から Windows向け実行ファイル拡張子 .exe) が登場します。

イメージ 8
コニカミノルタ製複合機からの通知に偽装したメール
アーカイブから Windows向け実行ファイル .exe

www.virustotal.com/ja/file/dd6e62e4c82170b42b515e4c25cba3c2cc95b44c032c844208de77172cac084d/analysis/1496843497/

セキュリティ会社カスペルスキーによると、世界の中で日本の検出台数が突出して多かったことを指摘してます。 <ユーザーの元へ届いてセキュリティ製品が検出する前の段階で弾かれてない?

日本で検知が急増中のランサムウェア – カスペルスキー
https://blog.kaspersky.co.jp/ransomware-attack-rising-in-japan/

《4》 Office Word文書ファイル

Word文書(拡張子 .docm) が添付されていて、この正体は マクロウイルス です。

Microsoft Word で開いてマクロを許可すると、外部ネットワークから Jaff ランサムウェアのデータがダウンロードされてきてシレッと起動し感染です。

【パターン1/2/4で実行ファイル投下場所】
C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].exe

☆ 迷惑メールを単に受信しただけ、メールソフトのプレビュー機能で内容が表示されただけ、PDF文書を Adobe Reader で開いただけ、圧縮アーカイブをダブルクリックしただけ… いずれも感染には至ってません!

ランサムウェア感染を防ぐ無料ウイルス対策

気合でどうにかしろ的な 『怪しいメールを開くな』『不審なファイルを開くな』 といった精神論を見かけるけど、人間は ヒューマンエラー を起こしうるので必ずしもそれが実現できません。 <結局は自爆で引き金を引く

そこで、あらかじめ次のようなメスを施す ”うっかり” 上等のウイルス対策3つが Jaff ランサムウェアの感染防止に効果的です。 <お金がかからず無料♪ 数分の作業で対策完了♪
  • PDF文書内のマクロウイルスを開かないよう Adobe Reader の設定を変更する
  • スクリプトウイルス対策にファイルの関連付けや設定を変更する
  • マクロウイルス対策に Microsoft Office のセキュリティ設定を変更する
セキュリティソフトはこの無料ウイルス対策をユーザーに代わって行わないので、過去の↓ブログ記事を参照に実施してください。
関連するブログ記事

最終更新日: 2017/06/15

この記事に

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(0)

本文はここまでですこのページの先頭へ
みんなの更新記事