昨年からEMSを装った「ばらまき型」メールが度々観測されていました。
このブログでも過去に2度ほど提供いただいた情報を元に情報を共有しました。
過去のものは、こちら と こちらよりご覧ください。
これまでは「Rovnix」や「Dofoil」というマルウェアだったのですが今回初めてランサムウェアの一種である
「CryptoWall」に感染するというものが発見されたため別のエントリとして情報を共有することにしました。

 

今回はメールそのものを入手することができていないのでメールそのものの情報や添付されているファイル名やそのハッシュ値の情報はありません。しかし、このタイプの日本語の「ばらまき型」メールでランサムウェアが送られてくるケースは現時点で稀と言えるかと判断できるため可能な限り早く情報を共有したいと考えました。今回は添付されているファイルを展開した後のファイルと思われるもののみの入手です。したがってそこから可能な範囲で調査した情報を共有します。

テスト環境で感染した際の感染時の画面は下図のようなものです。

また、感染すると表示される案内に記載されたURLにアクセスすると下図のようなページが表示されます。

情報はこれまで同様、PDFにまとめましたので
以下よりPDFをダウンロードしてご覧ください。

 

■謝辞
この「ばらまき型」メールの件については
「無題な濃いログ」の「EMS迷惑メールからCryptoWall 4.0ウイルス感染でファイル暗号化！」
というエントリで知りました。
良い機会を与えていただきありがとうございました。

 

【2016/01/15追記】
メール本文などの情報を提供いただきましたのでPDFの不明となっていた箇所を修正。