NEWS

ニュース | 最新のニュースをお届けします

「TeslaCrypt」「Locky」ランサムウェアの感染を狙ったメール攻撃が一週間で20万件以上の検出を確認

この記事をシェア

ESET社では、2016年3月2日から3月9日までの約一週間で、「TeslaCrypt」および「Locky」ランサムウェア感染を狙った不審メールが20万件以上確認されました。この一週間の攻撃キャンペーンは、2015年12月に発生した「TeslaCrypt」ランサムウェア感染を狙ったばらまき型メールによるものと、先月2月に新種として当ニュースでも取り上げた「Locky」ランサムウェア感染を狙ったばらまき型メールの両方の亜種としてのキャンペーンであることが分かりました。また、特にESETでの検出量として突出しているのが日本であることも分析の結果で分かりました。以下は、今回の攻撃キャンペーンの動きについてまとめています。

国別による「JS/TrojanDownloader.Nemucod」の検出マップ(2016年3月11日17:00時点)

約1週間にわたる今回のメール攻撃ですが、実際に送られたメールに添付されていた脅威は、2015年12月に対応した「JS/TrojanDownloader.Nemucod」の亜種になります。このマルウェアは、「TeslaCrypt」や「Locky」ランサムウェアをダウンロードし発症させる仕組みを持っています。メールの添付ファイル名は複数の種類がありますが、それぞれ名前に付け方に特徴を持っています。これらのファイル名は見て通り「INVOICE」が多用されており、そのメールの多くは「請求書」などを装ったメールであることが分かります。

不審メールに添付されたファイル名の特徴

UNPAID_INVOICE_(ランダムな数値).zip
INVOICE_ランダムな数値).zip
SCAN_2016_03_(ランダムな数値).zip
Invoice_ref-(ランダムな数値).zip

また、これらはZIP形式で圧縮されており、実際のマルウェアは圧縮から展開された以下のファイルが実行されることで発症します。いずれもJavaScript形式で作られています。

実際にマルウェアとして実行するファイル

accent.(ランダムな数値).js
email. (ランダムな数値).js
watch. (ランダムな数値).js
invoice_copy_(ランダムな文字列).js
statistics_(ランダムな数値).js
invoice_SCAN_(ランダムな文字列).js

これらに対してのESETによる検出状況についてですが、3月2日から3月9日までの国別検出状況は、以下の通りとなり、日本が最も多く検知されていることが確認できます。

国別による「JS/TrojanDownloader.Nemucod」の検出率(2016年3月11日17:00時点)

日本

53.72%

アイルランド

46.06%

チェコ

40.25%

イギリス

40.97%

イタリア

34.87%

※本数値の見方は、各国ごとに検出されたマルウェア全体の内、JS/TrojanDownloader.Nemucodが占めた割合になります。なお、これらの統計は、ESET社VIRUSRADARより、確認することができます。

これは、先月の「Locky」ランサムウェア感染を狙った時のばらまき型メール攻撃に比べ2倍以上もあり、この一週間で今までにない大量のメールによるばらまき型攻撃があったことを示しています。なお、日本で最もピークを迎えたのは3月8日で、現在もなお高い数値で検知が続いています。

日本の「JS/TrojanDownloader.Nemucod」の直近1週間の検出状況(2016年3月11日21:00時点)

今後も亜種によるメール攻撃が継続されると思われますので、メールの取り扱いにご注意ください。また、万が一ランサムウェアの感染に備え、重要なデータは定期的にバックアップを取るなどの対策を講じてください。

なお、このウイルスは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
ウイルス定義データベースにて、下記の検出名で検出されます。
ウイルス定義データベース:13106 (20160301) 以降

 

Win32/Filecoder.TeslaCrypt トロイの木馬
Win32/Filecoder.TeslaCrypt の亜種 トロイの木馬
Win32/Filecoder.Locky トロイの木馬
Win32/Filecoder.Locky の亜種 トロイの木馬
Win32/Kovter トロイの木馬
Win32/Kovter の亜種 トロイの木馬
Win32/ProxyChanger トロイの木馬
Win32/ProxyChanger の亜種 トロイの木馬
Win32/Boaxxeトロイの木馬
Win32/Boaxxeの亜種 トロイの木馬
NSIS/injectorsトロイの木馬
NSIS/injectorsの亜種 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、

Suspicious File
Genentik の亜種 トロイの木馬

として検出されます。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

ランサムウェアのセキュリティ対策に

引用・出典元

マルウェア情報局の
最新情報をチェック!