TorrentLockerのメール例
攻撃最多時間の分布
出典: https://blog.trendmicro.co.jp/archives/14583
【概要】
- 通信方法
- Dropbox のアカウントを不正利用して拡散
- 感染方法
- 偽装メール
- Dropboxのハイパーリンクをクリック
- 請求書を偽装した JavaScriptファイルがダウンロード
- 難読化された別の JavaScriptファイルがメモリにダウンロード(請求書を開く動作がトリガ)
- 作成ツール
- NSIS
【ブログ】
◆「TorrentLocker」が再び活発化、拡散手段を変えヨーロッパ主要国を攻撃対象に (Trendmicro, 2017/03/15)
https://blog.trendmicro.co.jp/archives/14583
【参考情報】
- NSISを使って作成されたランサムウェア
- CERBER
- LOCKY
- SAGE
- SPORA
【インディケータ情報】
◆ハッシュ情報 (Sha256)
| Sha256 | 備考 |
|---|---|
| 0d27f890c38435824f64937aef1f81452cb951c8f90d6005cc7c46cb158e255f | JS_NEMUCOD.THCOF |
| 1a06e44df2fcf39471b7604695f0fc81174874219d4226d27ef4453ae3c9614b | Ransom_CRYPTLOCK.DLFLVV |
| aa4a0dde592488e88143028acdb8f035eb0453f265efeeebba316a6afe3e2b73 | Ransom_CRYPTLOCK.DLFLVV |
| 5149f7d17d9ca687c2e871dc32e968f1e80f2a112c574663c95cca073283fc27 | Ransom_CRYPTLOCK.DLFLVW |
| efcc468b3125fbc5a9b1d324edc25ee3676f068c3d2abf3bd845ebacc274a0ff | Ransom_CRYPTLOCK.DLFLVU |
| 287ebf60c34b4a18e23566dbfcf5ee982d3bace22d148b33a27d9d1fc8596692 | Ransom_CRYPTLOCK.DLFLVU |
| ddac25f45f70af5c3edbf22580291aebc26232b7cc4cc37b2b6e095baa946029 | Ransom_CRYPTLOCK.DLFLVU |
| 1ffb16211552af603a6d13114178df21d246351c09df9e4a7a62eb4824036bb6 | Ransom_CRYPTLOCK.DLFLVS |
| 1a9dc1cb2e972841aa6d7908ab31a96fb7d9256082b422dcef4e1b41bfcd5243 | Ransom_CRYPTLOCK.DLFLVS |
| 028b3b18ef56f02e73eb1bbc968c8cfaf2dd6504ac51c681013bcf8e6531b2fc | Ransom_CRYPTLOCK.DLFLVS |
| 98aad54148d12d6d9f6cab44974e3fe8e1175abc87ff5ab10cc8f3db095c3133 | Ransom_CRYPTLOCK.DLFLVS |
| f914b02c6de92d6bf32654c53b4907d8cde062efed4f53a8b1a7b73f7858cb11 | Ransom_CRYPTLOCK.DLFLVS |
