メニュー

EMSを装った「ばらまき型」メール調査メモ2016 CryptoWall版

2016年1月15日 - malware
EMSを装った「ばらまき型」メール調査メモ2016 CryptoWall版

昨年からEMSを装った「ばらまき型」メールが度々観測されていました。
このブログでも過去に2度ほど提供いただいた情報を元に情報を共有しました。
過去のものは、こちらこちらよりご覧ください。
これまでは「Rovnix」や「Dofoil」というマルウェアだったのですが今回初めてランサムウェアの一種である
「CryptoWall」に感染するというものが発見されたため別のエントリとして情報を共有することにしました。

 

今回はメールそのものを入手することができていないのでメールそのものの情報や添付されているファイル名やそのハッシュ値の情報はありません。しかし、このタイプの日本語の「ばらまき型」メールでランサムウェアが送られてくるケースは現時点で稀と言えるかと判断できるため可能な限り早く情報を共有したいと考えました。今回は添付されているファイルを展開した後のファイルと思われるもののみの入手です。したがってそこから可能な範囲で調査した情報を共有します。

テスト環境で感染した際の感染時の画面は下図のようなものです。
ems_cw_infected

また、感染すると表示される案内に記載されたURLにアクセスすると下図のようなページが表示されます。
decrypt_sv

情報はこれまで同様、PDFにまとめましたので
以下よりPDFをダウンロードしてご覧ください。

pdf-icon

 

■謝辞
この「ばらまき型」メールの件については
「無題な濃いログ」の「EMS迷惑メールからCryptoWall 4.0ウイルス感染でファイル暗号化!
というエントリで知りました。
良い機会を与えていただきありがとうございました。

 

【2016/01/15追記】
メール本文などの情報を提供いただきましたのでPDFの不明となっていた箇所を修正。

タグ: