JH1LHVの雑記帳

和文電信好きなアマチュア無線家の雑記帳

スポンサーリンク

ウイルスメールにご注意ください!

今日こんなウイルスメールを受信しました。

最近流行りの身代金要求型ウイルスのランサムウェアなんですが、

わたしのメアドの「コールサイン@jarl.com」宛てに届いたもので、アマ無線家の皆さんに注意喚起しておきます。

 

f:id:JH1LHV:20160407191248j:plain

f:id:JH1LHV:20160407191323j:plain

( iPhone のメール画面)

 

差出人が「EMS-日本郵便」

海外通販をよく使っているし、幾つか到着を待っているものあるし・・・

この差出人だけ見たら添付ファイルを開けちゃうかも。。。

 

メール本文

抜けてる文字もあり、何を言いたいのか意味不明。

 

宛先として使われているのが @jarl.com とは

今回のランサムウェアの特徴は、

ユーザ名を固定してドメインを入れ替え有効なアドレスを探す手法なのですが。

 

アマ無線家ってユーザ名にコールサインを使うことが多いので、

ドメインを入れ替えるまでもなく、「jarl.com」で有効なアドレスとなってしまいます。

(ハムのコールサインなんてウェブにアップされているコンテストログから幾らでも抽出できちゃうし。。。)

 

ということで、

特に、@jarl.com 宛のメールに添付されるファイルには注意が必要です。

 

メールヘッダを調査してみたら・・・

aguse. でメールヘッダを調査してみました。

f:id:JH1LHV:20160407211921j:plain

 

送信元が「96.27.125.184」ということなので、続けて調査します。

f:id:JH1LHV:20160407210016j:plain

中国のサーバかと思ったら・・・アメリカとは。。。

 

f:id:JH1LHV:20160407212846j:plain

そして、京都にあるケーブルテレビのサーバも経由しているようです。

(Return-Path もここのプロバイダのメアドでした。)

 

添付ファイル「追跡番号_qpxpbg.zip」を少しだけ調査

ウイルス対策ソフトが検知し駆除したファイルを復元して調査してみました。

(調査終了後は完全に削除済みです。) 

 

MD5:b8fdfbf7325d529a7bef9a161a3484a8

SHA-1:a8a67ce0973e6086078e8ed030f028cfa9e922d0

 

ZIP 内には、

「AA9764358227JPから100通_TRRCS.PDF」というファイルが一つ。

 

f:id:JH1LHV:20160407223947j:plain

拡張子が PDF なのに、種類がスクリーンセーバーになっている?

これは RLO という方法でファイル名を偽装しているからですね。

本当のファイル名は、「AA9764358227JPから100通_TRFDP.SCR」で、拡張子は SCR が正解です。

 

f:id:JH1LHV:20160408000628j:plain

Windows の標準機能で簡単にファイル名は偽装できます。

困ったもんですね。

 

このウイルスのハッシュ値でググったところ、

malwr.com

このウェブで解析結果を参照することができるのですが、

ウイルス自体が新しいためか詳しいレポートは掲載されていませんでした。

 

いっそ、VMware 上で起動させてみようかとも思いましたが、

ウイルスと分かっていて起動するのは・・・やっぱり気持ちが悪いので、

止めときました。。。(ウイルスも完全に削除です。)

 

まぁ、このウイルス。

ランサムウェアだと思うので、

実行しちゃうとユーザーフォルダにある全てのファイルが暗号化されて、

復号したいなら「お金を払え!」と大きな文字でデスクトップに表示されるんでしょうね。。。

 

ということで、最悪、感染してもいいように、

可能な限り短い間隔でバックアップを取得する

ってことが必要なのかも。