Document(1).pdfというタイトルで送信元アドレスが自分のドメイン名のメールはウイルスメール、添付ファイルを開くと感染してしまうので開かないように!

2016.03.28
この記事は約3分で読めます。

netadminというウイルスメールDocument(1)というタイトルのウイルスメールが猛威をふるっている。メールサーバーのウイルスチェックをくぐり抜けて大量に送付されてくるため、パソコンのメールソフトにまで届いてしまう。パソコンのウイルス対策ソフトやメールソフトの迷惑メール自動除去もすり抜けて、受信トレイに届いている。この1週間ほぼ毎日100通規模で届いている。
このDocument(1).pdfというタイトルのウイルスメールにはDocument (1).zip(3.96KB)という添付ファイルがある。この添付ファイルはzip形式の圧縮ファイルで、このファイルをダブルクリックで開くと感染する。

spammail.jpg

送信されてきたメールの中身は以下のようになっている。

題名 : Document (1).pdf
差出人 : nadiam1pa@自社のドメイン 新規メール アドレス帳へ追加
送信先 : tohda@自社のドメイン
送信日時 : 2016/03/28 23:38:03
Document (1).pdf ←実はPDFではなく圧縮ファイルで開くと感染してしまうので要注意!

送信元のメールアドレスが自社のドメインを使っていて、「nadiam1pa@自社のドメイン」というメールアドレスになっているのが特長だ。

この添付ファイルを開いてしまうとウイルスに感染してしまう。いわゆる「身代金型」のウイルスらしく、感染したPC内のファイルをどんどん暗号化していくことで使えなくしてしまい、解決するには代金を支払うよう脅迫文が表示されるとのこと。

Document(1).pdfウイルスに感染してしまった場合の対処法

http://rootdown.cocolog-nifty.com/memo/2016/03/locky-virus—e.html
にて説明があるので一部引用する。ウイルス名は「Locky Visrus」となっている。

Locky Visrus 感染時の動作

メール経由での感染時の動作です。感染してファイルを暗号化された後は、Locky Virus は自身を削除してしまうため残っていません。このため、暗号化された後に、アンチウイルスソフトウェアでフルスキャンしても見つかりません。メール添付されていた zip or Javascript は残っているので、これらが検知されることはあるかもしれません。

Locky Virus をダウンロードするための Javascript を圧縮した zip ファイルを添付したメールが届く
添付された zip を開いて Javascript ファイル( 例: LUH5654603905.js)を実行すると、Locky Virus である実行ファイルがダウンロード実行される
Volume Shadow Copy サービスで自動バックアップされているファイルをコマンドで削除する「C:\Windows\System32\wbem\WMIC.exe shadowcopy delete /nointeractive」
Locky C2 (コントロール&コマンド)サーバに通信して暗号化に関する情報をやり取り (hxxp://xxxxxxx/main.php へのPOST通信が多かったです)
ファイルの暗号化処理
脅迫文を作成して表示
Locky Virus の実行ファイルを削除 「”C:\Windows\system32\cmd.exe” /c DEL %USERPROFILE%\DOCUME~1\TWRPUI~1.EXE」

このウイルスは強力なのでへたに自分で操作を進めると回復不可能になる可能性がある。もしも、感染してしまったら、自分で解決しようとせずにパソコン修理などの専門家に相談することをおすすめする。誤ってファイルを開いてしまった場合は、とりあえずインターネットから遮断しよう。