【注意喚起】メール添付のランサムウェア（身代金ウイルス）を開けてみました。

実際に怪しいメールを沢山受信しました。

（注：＊記事中の操作は検証環境でやっていますのでマネしないでください）

個人のFacebookで、注意喚起をしていたら

「今朝、まさに社内でDocument (数字)
の添付ファイルがついたメールを実効してしまった人が居て
　全員ネットワーク切断して、業務停止してる！」
と、連絡をいただきました

これは、広く注意喚起しておかないと。
と、今朝も手元の端末で自身の受信トレイを確認すると。

確認すると４通も怪しいメールが来ています。

1. コピー機からのメール？何かスキャンしたか？
   （そもそも自身の個人ドメインでcopier@というメールアドレスは作ってない）
2. 海外のディストリビュータから請求書が来ました。
   （何も注文していない）
3. 刑法309条から312条に抵触して訴えられてます
   （訴えられるような悪い事していない）
4. 自分から自分にDocument （数字）のファイル名だけでメールが届いた
   （寝てる間に送ったのだろうか、いやない）

どれも怪しさ爆発です。どのメールも
「添付ファイル開いてサインして返して、はよ。」
と言っていますが・・果たして。

添付されているzipファイルを解凍してみました

沢山js(javascript)ファイルが生成されてきます。
（注：＊検証環境でやっていますのでマネしないでください）
４通中３通は
MACに入っているウイルス対策ソフトがうなりをあげ
黒い表示が下記の画像以外にも雪崩のように表示されてきました。

Nemucod 、今話題になっているトロイの木馬です。

Nemucodは、TeslaCrypt（.vvvウイルス）に感染するURLに
自動的にアクセスしに行く仕組みを持ったマルウェア（ウイルス）です。

アンチウイルスを抜けて来たjsファイルが居たので読んだ

一通の解凍したjsについてはウイルス対策ソフトのESETをすり抜けてきました。

コピー機からきたメール

を解凍して出て来たjsファイル

どうやって、ウイルス対策の網をかいくぐってきたのか。

普段は一通一通、いちいち目視しないですが、ちょっと読んでみました。

拡大判画像は画像クリック
（コードを画像化しているのでクリックしても安全です。）

大部分は、ほとんど意味をなさない文字列なのですが
（おそらくカモフラージュと思われます）
最後の３行でピンク枠で囲っているところを見ると

h ttp:// 〜〜〜〜〜〜〜〜〜〜.exe
何をダウンロードしようとしてるのか、怪しい。

【まとめ】

人力で見分けるのも必要ですが。一通一通やってられないと思いますので
自動仕分けする仕組みを２重化するべきです。（UTM & ウイルス対策ソフト）

今週、本当に増えていますのでご注意ください。
（そしてくれぐれも記事中の操作はマネしないでください）

最低限、Windows端末にセキュリティ対策ソフトを、
可能であれば、UTM(Check Point）を入れましょう。

Check Pointを事前に設定していれば
ウイルス対策をすり抜けるjsファイルが居ても

1. 社内の人が中のjsファイルを実行
2. jsファイルの中身のコードが、
   インターネットの向こう側で感染させようと
   待ち構えている仕組みに問い合わせ
3. 感染させる仕組みがパソコンに身代金ウイルスをインストール
4. 身代金ウイルスが次々に共有ファイルをめちゃくちゃにして行く

3.の時点で動きを止めてくれます。