2016/03/23
Locky の自警団
2016 年 3 月 23 日 ROB COLLINS 著
最近、LastLine(ウォッチガードのAPT Blockerのプロバイダー)で、スコアの低いランサムウェアファイルを調査していたときに、ある面白いことに気付きました。多くのランサムウェアが、JavaScript(.js)添付ファイルとしてメールで送信されます。JavaScript 自体は比較的有害性が低いものですが、有害性の高いファイルをダウンロードし、実行する手段として使われることがあります。私が経験した例では、感染したWordPressサイト(hxxp://www.xxxxxxxx.it/wp-content/plugins/hello123/89h766b.exe)からJavaScriptを使って実行ファイルがダウンロードされましたが、LastLineはそのダウンロードされたファイルに 100 点満点中 0 点のスコアを付けていたのです。
そして、ダウンロードされていたファイルは「89h766b.exe」という名前で、「STUPID LOCKY」という文字を含む無害のテキストファイルであることがわかりました。
どうやら、何らかの自警団のような個人かグループが存在し、有害なランサムウェアを無害のテキストファイルに入れ替えてくれたことで、このように無害のテキストが出力されたようです。もちろん、この正義の味方には感謝しますが、ウォッチガードのお客様にはこれまで通り、拡張子が .js の添付ファイルを開かずに APT Blocker をご利用いただくことをお勧めします。
カテゴリー:
セキュリティニュース