再流行し始めた Locky ランサムウェア

2017.09.04

この記事を公開できるように尽力してきた SophosLabs の Dorka Palotay に感謝します。


Locky はかつて最も拡散したランサムウェアの 1 つでした。その後、Cerber や Spora などのランサムウェアに取って代わられ、目にすることが少なくなりました。しかし、ここ数週間で、Locky が復活してきています。


先週確認された Locky には新たな拡張子「.diablo6」が付いていました。今週発見されている亜種の拡張子は「.lukitus」です。SophosLabs の研究者 Dorka Palotay は、これらの新しい亜種はこれまでの Locky と同じ動作をすると述べています。


スパムメールによって拡散し、.js ファイル (例: 20170816436073213.js) が組み込まれた .zip ファイルが添付されています。実際のペイロードをダウンロードし、このペイロードがファイルを暗号化します。


電子メールの特徴とペイロード


.lukitus の亜種は、「領収書」のような件名と次のような本文の電子メールで拡散されています。



.diablo6 の亜種では、「Files attached. Thanks (添付ファイルをご覧ください)」という本文が使われており、送信者のメールアドレスのドメインが受信者のドメインと同じでした。この電子メールには、「E 2017-08-09 (972).vbs」という VBScript ダウンローダーを含んだ .zip 添付ファイル「E 2017-08-09 (957).zip」が添付されていました。このスクリプトによって、末尾が /y872ff2f のアドレスから Locky ペイロードがダウンロードされます。


.lukitus バージョンは、以下のアドレスを介して C&C サーバーに接続していました。


  • ・hxxp://185[.]80[.]148[.]137/imageload.cgi

  • ・hxxp://91[.]228[.]239[.]216/imageload.cgi

  • ・hxxp://31[.]202[.]128[.]249/imageload.cgi

diablo6 バージョンは、以下のアドレスを介して C&C サーバーに接続していました。


  • ・83.217.8.61/checkupdate

  • ・31.202.130.9/checkupdate

  • ・91.234.35.106/checkupdate

不正な添付ファイル対策


ソフォスは最近の Locky ランサムウェア攻撃からお客様を保護していますが、念のため以下のアドバイスを心に留めておいてください。


  • ・種類にかかわらず、電子メールで受信した添付ファイルの送信者が分からない場合は開かないでください。

  • ・ファイル拡張子を表示するように Windows の設定を変更してください。設定を変更することで、見かけと実体が異なるファイルを検出できる可能性が高まります。

  • ・ウイルス対策ソフトウェアとオンアクセススキャナ (別名: リアルタイムプロテクション) を併用してください。併用することで、たとえば最初の不正な PDF ファイルや HTA ファイルを阻止するなど、多層型の防御が実現します。

  • ・メールゲートウェイの設定の厳格化を検討してください。一部の従業員は、他の従業員よりもマルウェア攻撃の標的になりやすいため、予防措置を厳格化することで不便さを感じることはあっても、それを上回るメリットがあります。

ランサムウェア対策


そもそもランサムウェアに感染しないことが大切です。ソフォスが発表したガイド『ランサムウェアから身を守るには』には役立つ情報が掲載されています。ぜひお読みください。




Techknow ポッドキャスト Dealing with Ransomware (リンク先:英語) も併せてご紹介しておきます。


今すぐ再生


(オーディオプレーヤーが動作しない場合は、Soundcloud でお聞きいただくか、iTunes からアクセスしてください。)


おすすめの記事はこちら