TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

「TorrentLocker」が再び活発化、拡散手段を変えヨーロッパ主要国を攻撃対象に

f:id:tanigawa:20180721094020j:plain
TorrentLockerのメール例
f:id:tanigawa:20180721094103j:plain
攻撃最多時間の分布
出典: https://blog.trendmicro.co.jp/archives/14583


【概要】

  • 通信方法
    • Dropbox のアカウントを不正利用して拡散
  • 感染方法
    • 偽装メール
    • Dropboxハイパーリンクをクリック
    • 請求書を偽装した JavaScriptファイルがダウンロード
    • 難読化された別の JavaScriptファイルがメモリにダウンロード(請求書を開く動作がトリガ)
  • 作成ツール
    • NSIS


【ブログ】

◆「TorrentLocker」が再び活発化、拡散手段を変えヨーロッパ主要国を攻撃対象に (Trendmicro, 2017/03/15)
https://blog.trendmicro.co.jp/archives/14583

【参考情報】

【インディケータ情報】

◆ハッシュ情報 (Sha256)

Sha256 備考
0d27f890c38435824f64937aef1f81452cb951c8f90d6005cc7c46cb158e255f JS_NEMUCOD.THCOF
1a06e44df2fcf39471b7604695f0fc81174874219d4226d27ef4453ae3c9614b Ransom_CRYPTLOCK.DLFLVV
aa4a0dde592488e88143028acdb8f035eb0453f265efeeebba316a6afe3e2b73 Ransom_CRYPTLOCK.DLFLVV
5149f7d17d9ca687c2e871dc32e968f1e80f2a112c574663c95cca073283fc27 Ransom_CRYPTLOCK.DLFLVW
efcc468b3125fbc5a9b1d324edc25ee3676f068c3d2abf3bd845ebacc274a0ff Ransom_CRYPTLOCK.DLFLVU
287ebf60c34b4a18e23566dbfcf5ee982d3bace22d148b33a27d9d1fc8596692 Ransom_CRYPTLOCK.DLFLVU
ddac25f45f70af5c3edbf22580291aebc26232b7cc4cc37b2b6e095baa946029 Ransom_CRYPTLOCK.DLFLVU
1ffb16211552af603a6d13114178df21d246351c09df9e4a7a62eb4824036bb6 Ransom_CRYPTLOCK.DLFLVS
1a9dc1cb2e972841aa6d7908ab31a96fb7d9256082b422dcef4e1b41bfcd5243 Ransom_CRYPTLOCK.DLFLVS
028b3b18ef56f02e73eb1bbc968c8cfaf2dd6504ac51c681013bcf8e6531b2fc Ransom_CRYPTLOCK.DLFLVS
98aad54148d12d6d9f6cab44974e3fe8e1175abc87ff5ab10cc8f3db095c3133 Ransom_CRYPTLOCK.DLFLVS
f914b02c6de92d6bf32654c53b4907d8cde062efed4f53a8b1a7b73f7858cb11 Ransom_CRYPTLOCK.DLFLVS

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019