TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

Locky (まとめ)

【概要】

  • 感染経路
    • メール添付ファイルからの感染
      • 請求書などを装ったWordファイルをメールで送り付け
    • 改ざんされたwebサイトからの感染
    • マクロにより感染を広げる
  • 症状
    • 拡張子が「.locky」に書き換わってしまう
  • アンチアナリシス機能
    • 隠匿されたAPIを呼び出すコードを用いる
    • 埋め込まれた単語の辞書から生成され、システム関数を解決して、一般的な静的分析ツールから真の機能を隠す
  • 2017/06版 Lockyの機能
    • サンドボックスの回避機能を備えた新型のLockyが出現
    • ダウンローダーであるJavaScriptと、ダウンロードされる「Locky」の双方がアップデートされた
    • Lockyの実行にはコマンドラインより正しい引数を渡す必要がある
    • 正しい値がわたされないと復号できずクラッシュ
    • 6/21から6/23にかけて展開された攻撃は、46%が日本に集中


【ニュース】

◆「Lockyランサムウェア」が国内外で猛威 - マクロを有効化させる巧妙手口も (Security NEXT, 2016/02/18)
http://www.security-next.com/067037

◆デスクトップの壁紙が身代金要求文書に、新種のランサムウェア「Locky」感染が増加、請求書を装ったばらまき型メールで拡散 (Internet Watch, 2016/02/18 20:30)
http://internet.watch.impress.co.jp/docs/news/20160218_744347.html

◆活発な動きを見せるランサムウェア「Locky」 – 「アフィリエイト」が後押し (Security NEXT, 2016/03/10)
http://www.security-next.com/067683

◆vvvウイルス再び猛威か、1週間で攻撃メール20万件 - ESET (マイナビニュース, 2016/03/15)
http://news.mynavi.jp/news/2016/03/15/178/

◆ランサムウエア「ロッキーウイルス」。2つの感染経路と、感染後のデータ救出方法について、日本一のデータ復旧業者が「今できること」を明かす (デジタルデータソリューション, 2016/03/28 11:00)
https://www.value-press.com/pressrelease/159557

◆新型身代金ウイルス猛威 添付ファイル開くと「脅迫文」 (朝日新聞, 2016/04/30 11:46)
http://www.asahi.com/articles/ASJ3Y5HGRJ3YUUPI003.html

◆標的型ランサムウェアという新しい傾向を示す Samsam (Symantec, 2016/04/06)
http://www.symantec.com/connect/ja/blogs/samsam

◆PCからスマホへ被害拡大、ランサムウェアの国内状況に対し“緊急注意喚起”(RBB Today, 2016/04/06)
http://www.rbbtoday.com/article/2016/04/06/141247.html

Flash脆弱性、3月末よりエクスプロイトキットがゼロデイ攻撃ランサムウェアを拡散 (Security NEXT, 2016/04/08)
http://www.security-next.com/068706

◆Latest Flash Zero Day Being Used to Push Ransomware (threat post, 2016/04/07)
https://threatpost.com/latest-flash-zero-day-being-used-to-push-ransomware/117248/

Flashのゼロデイ脆弱性ランサムウェアの配布に使われる (マイナビニュース, 2016/04/11)
http://news.mynavi.jp/news/2016/04/11/183/

◆Flashの緊急パッチ、今すぐ更新を (読売新聞, 2016/04/11)
http://www.yomiuri.co.jp/science/goshinjyutsu/20160411-OYT8T50010.html

◆最新のランサムウェアアンチウイルスソフトを回避する方法 (マイナビニュース, 2016/04/11)
http://news.mynavi.jp/news/2016/04/12/030/

◆最新のランサムウェアアンチウイルスソフトを回避する方法 (マイナビニュース, 2016/04/11)
http://news.mynavi.jp/news/2016/04/12/030/

トレンドマイクロFlashのゼロデイ脆弱性「CVE-2016-1019」のランサムウェア拡散での利用を確認 (Security Insight, 2016/04/12)
https://securityinsight.jp/news/13-inbrief/1671-160412-trendmicro

◆全米の病院が標的に 猛威振るい始めた新種ランサムウェア (クラウドWatch, 2016/04/18 09:24)
http://cloud.watch.impress.co.jp/docs/column/infostand/20160418_753661.html

ランサムウェア「Locky」の攻撃が世界中で発生 - キヤノンITSが公表 (マイナビニュース, 2016/04/22)
http://news.mynavi.jp/news/2016/04/22/328/

ランサムウェアの進化 (バラクーダネットワークス, 2016/04/26)
http://www.barracuda.co.jp/column/detail/555

◆暗号化ランサムウェア「Locky」はOfficeファイルから侵入 (マイナビニュース, 2016/04/28)
http://news.mynavi.jp/news/2016/04/28/430/

◆Afraidgate: 主要のエクスプロイト キット攻撃がLockyランサムウェアをCryptXXXに入れ替え (Paloalto, 2016/05/06 18:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160507-afraidgate-major-exploit-kit-campaign-swaps-locky-ransomware-for-cryptxxx.html

パロアルトネットワークス、ランサムウェアに関する調査レポート要約を公開 (Internet Watch, 2016/06/01)
http://internet.watch.impress.co.jp/docs/release/760090.html

ランサムウェアの攻撃、日本はこれから本格化 - トレンドマイクロ2016年第1四半期セキュリティラウンドアップ (マイナビニュース, 2016/06/12)
http://news.mynavi.jp/articles/2016/06/12/trendmicro/

◆2月に「Bedep」感染を多数観測 - 「Angler EK」で拡散か (Security NEXT, 2016/06/20)
http://www.security-next.com/071128

ランサムウェア動向の2016年上半期おさらい、「Locky」再来も (ITmedia, 2016/07/06 17:05)
http://www.itmedia.co.jp/enterprise/articles/1607/06/news131.html

サンドボックス回避する「Locky」登場 - 攻撃の半数近くが日本対象 (Security NEXT, 2016/07/06)
http://www.security-next.com/071733

◆LOCKYの新たな大流行 (エフセキュアブログ, 2016/08/01 14:22)
http://blog.f-secure.jp/archives/50772705.html

ランサムウェア「Locky」の感染メール、日本の病院も狙って大量流通 (ITmedia, 2016/08/19 07:25)
ランサムウェアに感染させる目的で、「docm」形式の文書を添付した電子メールが日米を中心に大量に出回っている。特に病院などのヘルスケア業界が狙われているという。
http://www.itmedia.co.jp/enterprise/articles/1608/19/news057.html

ランサムウェア「Locky」が大規模展開 - 巧妙な検知回避も (SEcurity NEXT, 2016/09/08)
http://www.security-next.com/073648

◆新たなランサムウェアが流行--よく使われるマルウェアトップ3に食い込む (ZDNet, 2016/10/27 06:00)
http://japan.zdnet.com/article/35091070/

JavaScriptを添付した不正メールが69%増加 - 過去最高に (Security NEXT, 2016/12/19)
http://www.security-next.com/076734

ランサムウェア「Locky」の進化をセキュリティ企業が概説 (ZDNet, 2016/12/21 10:55)
https://japan.zdnet.com/article/35094066/

ランサムウェアによる最大の標的国は日本 (Security NEXT, 2016/12/26)
http://www.security-next.com/076950

◆2016年に猛威振るったランサムウェア「Locky」が再出現、手法が巧妙に--PhishMe (2017/04/25 10:34)
https://japan.zdnet.com/article/35100266/

サイバー攻撃の傾向、2017年第1四半期で大きく変動 (マイナビニュース, 2017/04/16)
http://news.mynavi.jp/news/2017/04/16/083/

◆猛威を振るったランサムウェア「Locky」が再び拡散を開始 (ZDNet, 2017/08/17 13:18)
https://japan.zdnet.com/article/35105921/

◆大規模「Locky」ランサムウェアキャンペーン、再び猛威--24時間にメール2300万通 (CNet, 2017/09/05 10:47)
https://japan.cnet.com/article/35106788/

ランサムウェア「Locky」のスパムメール、1日で2300万通配信される (マイナビニュース, 2017/09/07)
http://news.mynavi.jp/news/2017/09/07/025/

マルウェア感染メールの割合が6カ月連続増加 - 「Locky」の拡散も (Security NEXT, 2017/10/11)
http://www.security-next.com/086523

ボットネット「Necurs」、攻撃者にエラーレポート返送--攻撃を「品質向上」か (ZDNet, 2017/10/19)
https://japan.zdnet.com/article/35109036/


【公開情報】

◆Dridex Actors Get In the Ransomware Game With "Locky" (Proofpoint, 2016/02/16 18:15)
https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky

◆新種ランサムウェア「Locky」の感染が国内で急増 (キヤノンITソリューションズ, 2016/02/18)
http://canon-its.jp/eset/malware_info/news/160218/index.html

ランサムウェア (Paloalto, 2016/06/01)
https://www.paloaltonetworks.jp/content/dam/paloaltonetworks-com/ja_JP/Assets/PDFs/Unit42/ransomware-executive-summary.pdf

◆THE MANY EVOLUTIONS OF LOCKY (Forcepoint, 2016/12/19)
https://blogs.forcepoint.com/security-labs/many-evolutions-locky


【ブログ】

◆暗号化型ランサムウェア「CRYPTESLA」が活動停止、復号鍵を公開 (Trendmicro, 2016/05/23)
http://blog.trendmicro.co.jp/archives/13364?cm_re=articles-_-threat-_-blog

◆2つのランサムウェアを交互に使うスパムメール拡散活動を確認 (TRENDMICRO, 2017/10/11)
https://is702.jp/news/2220/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2018