【概要】
- 感染経路
- メール添付ファイルからの感染
- 請求書などを装ったWordファイルをメールで送り付け
- 改ざんされたwebサイトからの感染
- マクロにより感染を広げる
- メール添付ファイルからの感染
- 症状
- 拡張子が「.locky」に書き換わってしまう
- アンチアナリシス機能
- 隠匿されたAPIを呼び出すコードを用いる
- 埋め込まれた単語の辞書から生成され、システム関数を解決して、一般的な静的分析ツールから真の機能を隠す
- 2017/06版 Lockyの機能
- サンドボックスの回避機能を備えた新型のLockyが出現
- ダウンローダーであるJavaScriptと、ダウンロードされる「Locky」の双方がアップデートされた
- Lockyの実行にはコマンドラインより正しい引数を渡す必要がある
- 正しい値がわたされないと復号できずクラッシュ
- 6/21から6/23にかけて展開された攻撃は、46%が日本に集中
【ニュース】
■2016年
◆「Lockyランサムウェア」が国内外で猛威 - マクロを有効化させる巧妙手口も (Security NEXT, 2016/02/18)
http://www.security-next.com/067037
◆デスクトップの壁紙が身代金要求文書に、新種のランサムウェア「Locky」感染が増加、請求書を装ったばらまき型メールで拡散 (Internet Watch, 2016/02/18 20:30)
http://internet.watch.impress.co.jp/docs/news/20160218_744347.html
◆活発な動きを見せるランサムウェア「Locky」 – 「アフィリエイト」が後押し (Security NEXT, 2016/03/10)
http://www.security-next.com/067683
◆vvvウイルス再び猛威か、1週間で攻撃メール20万件 - ESET (マイナビニュース, 2016/03/15)
http://news.mynavi.jp/news/2016/03/15/178/
◆ランサムウエア「ロッキーウイルス」。2つの感染経路と、感染後のデータ救出方法について、日本一のデータ復旧業者が「今できること」を明かす (デジタルデータソリューション, 2016/03/28 11:00)
https://www.value-press.com/pressrelease/159557
◆新型身代金ウイルス猛威 添付ファイル開くと「脅迫文」 (朝日新聞, 2016/04/30 11:46)
http://www.asahi.com/articles/ASJ3Y5HGRJ3YUUPI003.html
◆標的型ランサムウェアという新しい傾向を示す Samsam (Symantec, 2016/04/06)
http://www.symantec.com/connect/ja/blogs/samsam
◆PCからスマホへ被害拡大、ランサムウェアの国内状況に対し“緊急注意喚起”(RBB Today, 2016/04/06)
http://www.rbbtoday.com/article/2016/04/06/141247.html
◆Flash脆弱性、3月末よりエクスプロイトキットがゼロデイ攻撃 – ランサムウェアを拡散 (Security NEXT, 2016/04/08)
http://www.security-next.com/068706
◆Latest Flash Zero Day Being Used to Push Ransomware (threat post, 2016/04/07)
https://threatpost.com/latest-flash-zero-day-being-used-to-push-ransomware/117248/
◆Flashのゼロデイ脆弱性、ランサムウェアの配布に使われる (マイナビニュース, 2016/04/11)
http://news.mynavi.jp/news/2016/04/11/183/
◆Flashの緊急パッチ、今すぐ更新を (読売新聞, 2016/04/11)
http://www.yomiuri.co.jp/science/goshinjyutsu/20160411-OYT8T50010.html
◆最新のランサムウェアがアンチウイルスソフトを回避する方法 (マイナビニュース, 2016/04/11)
http://news.mynavi.jp/news/2016/04/12/030/
◆最新のランサムウェアがアンチウイルスソフトを回避する方法 (マイナビニュース, 2016/04/11)
http://news.mynavi.jp/news/2016/04/12/030/
◆トレンドマイクロ、Flashのゼロデイ脆弱性「CVE-2016-1019」のランサムウェア拡散での利用を確認 (Security Insight, 2016/04/12)
https://securityinsight.jp/news/13-inbrief/1671-160412-trendmicro
◆全米の病院が標的に 猛威振るい始めた新種ランサムウェア (クラウドWatch, 2016/04/18 09:24)
http://cloud.watch.impress.co.jp/docs/column/infostand/20160418_753661.html
◆ランサムウェア「Locky」の攻撃が世界中で発生 - キヤノンITSが公表 (マイナビニュース, 2016/04/22)
http://news.mynavi.jp/news/2016/04/22/328/
◆ランサムウェアの進化 (バラクーダネットワークス, 2016/04/26)
http://www.barracuda.co.jp/column/detail/555
◆暗号化ランサムウェア「Locky」はOfficeファイルから侵入 (マイナビニュース, 2016/04/28)
http://news.mynavi.jp/news/2016/04/28/430/
◆Afraidgate: 主要のエクスプロイト キット攻撃がLockyランサムウェアをCryptXXXに入れ替え (Paloalto, 2016/05/06 18:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160507-afraidgate-major-exploit-kit-campaign-swaps-locky-ransomware-for-cryptxxx.html
◆パロアルトネットワークス、ランサムウェアに関する調査レポート要約を公開 (Internet Watch, 2016/06/01)
http://internet.watch.impress.co.jp/docs/release/760090.html
◆ランサムウェアの攻撃、日本はこれから本格化 - トレンドマイクロ2016年第1四半期セキュリティラウンドアップ (マイナビニュース, 2016/06/12)
http://news.mynavi.jp/articles/2016/06/12/trendmicro/
◆2月に「Bedep」感染を多数観測 - 「Angler EK」で拡散か (Security NEXT, 2016/06/20)
http://www.security-next.com/071128
◆ランサムウェア動向の2016年上半期おさらい、「Locky」再来も (ITmedia, 2016/07/06 17:05)
http://www.itmedia.co.jp/enterprise/articles/1607/06/news131.html
◆サンドボックス回避する「Locky」登場 - 攻撃の半数近くが日本対象 (Security NEXT, 2016/07/06)
http://www.security-next.com/071733
◆LOCKYの新たな大流行 (エフセキュアブログ, 2016/08/01 14:22)
http://blog.f-secure.jp/archives/50772705.html
◆ランサムウェア「Locky」の感染メール、日本の病院も狙って大量流通 (ITmedia, 2016/08/19 07:25)
ランサムウェアに感染させる目的で、「docm」形式の文書を添付した電子メールが日米を中心に大量に出回っている。特に病院などのヘルスケア業界が狙われているという。
http://www.itmedia.co.jp/enterprise/articles/1608/19/news057.html
◆ランサムウェア「Locky」が大規模展開 - 巧妙な検知回避も (SEcurity NEXT, 2016/09/08)
http://www.security-next.com/073648
◆新たなランサムウェアが流行--よく使われるマルウェアトップ3に食い込む (ZDNet, 2016/10/27 06:00)
http://japan.zdnet.com/article/35091070/
◆JavaScriptを添付した不正メールが69%増加 - 過去最高に (Security NEXT, 2016/12/19)
http://www.security-next.com/076734
◆ランサムウェア「Locky」の進化をセキュリティ企業が概説 (ZDNet, 2016/12/21 10:55)
https://japan.zdnet.com/article/35094066/
◆ランサムウェアによる最大の標的国は日本 (Security NEXT, 2016/12/26)
http://www.security-next.com/076950
■2017年
◆2016年に猛威振るったランサムウェア「Locky」が再出現、手法が巧妙に--PhishMe (2017/04/25 10:34)
https://japan.zdnet.com/article/35100266/
◆サイバー攻撃の傾向、2017年第1四半期で大きく変動 (マイナビニュース, 2017/04/16)
http://news.mynavi.jp/news/2017/04/16/083/
◆猛威を振るったランサムウェア「Locky」が再び拡散を開始 (ZDNet, 2017/08/17 13:18)
https://japan.zdnet.com/article/35105921/
◆大規模「Locky」ランサムウェアキャンペーン、再び猛威--24時間にメール2300万通 (CNet, 2017/09/05 10:47)
https://japan.cnet.com/article/35106788/
◆ランサムウェア「Locky」のスパムメール、1日で2300万通配信される (マイナビニュース, 2017/09/07)
http://news.mynavi.jp/news/2017/09/07/025/
◆マルウェア感染メールの割合が6カ月連続増加 - 「Locky」の拡散も (Security NEXT, 2017/10/11)
http://www.security-next.com/086523
◆ボットネット「Necurs」、攻撃者にエラーレポート返送--攻撃を「品質向上」か (ZDNet, 2017/10/19)
https://japan.zdnet.com/article/35109036/
【公開情報】
■2016年
◆Dridex Actors Get In the Ransomware Game With "Locky" (Proofpoint, 2016/02/16 18:15)
https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
◆新種ランサムウェア「Locky」の感染が国内で急増 (キヤノンITソリューションズ, 2016/02/18)
http://canon-its.jp/eset/malware_info/news/160218/index.html
◆ランサムウェア (Paloalto, 2016/06/01)
https://www.paloaltonetworks.jp/content/dam/paloaltonetworks-com/ja_JP/Assets/PDFs/Unit42/ransomware-executive-summary.pdf
◆THE MANY EVOLUTIONS OF LOCKY (Forcepoint, 2016/12/19)
https://blogs.forcepoint.com/security-labs/many-evolutions-locky
【ブログ】
■2016年
◆暗号化型ランサムウェア「CRYPTESLA」が活動停止、復号鍵を公開 (Trendmicro, 2016/05/23)
http://blog.trendmicro.co.jp/archives/13364?cm_re=articles-_-threat-_-blog
■2017年
◆2つのランサムウェアを交互に使うスパムメール拡散活動を確認 (TRENDMICRO, 2017/10/11)
https://is702.jp/news/2220/
【関連まとめ記事】
◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware
