PDFファイルで感染させるJaff 米国SANS ISCが警告

平成29年5月11日(アメリカ時間)より問題視されていた「WannaCry」同様、世界中に被害をもたらしていたと思われるマルウェアJaff」について、マルウェアの分析や警告サービスを無料で提供するアメリカのセキュリティ団体SANS ISC(Internet Storm Center)が、平成29年5月24日(日本時間)にWebサイトで警告を促しました。

 


引用元:https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/

 

JaffはPDFファイルマクロを含む文書ファイルを埋め込んだ仕組みであり、WindowsOSの利用者がPDFファイルを開封し文書ファイルの実行へ同意することで、マクロが実行され、端末にJaffが感染します。

ランサムウェアの「Locky」と感染手法はほぼ同様であり、Dridexの要素を持つマルウェアとして分類されるとのことです。

当団体は、現在人々の注意がWannaCry へ向いているが、Jaffもまた、警戒すべき脅威の一つであることが忘れられているのではないかと指摘しています。

 

感染経路の例

請求書を装ったメールで、PDFファイルが添付されています。


引用元:https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/

 

 

そのPDFファイルの開封を実行すると、埋め込まれた文書ファイルの開封の同意画面が表示されます。


引用元:https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/

 

文書ファイルの開封実行後、ユーザの意図に反してマクロの実行が始まります。

 


引用元:https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/

 

感染した端末のファイル内に「levinsky8.exe」というファイルが保存されます。


引用元:https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/

 

感染後の端末のデスクトップは以下2通りの画面になるとのことです。

「.wlu」のように、ファイルの拡張子が改ざんされ、暗号化されています。


引用元:https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/

 


引用元:https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/

 

デスクトップの案内に従っていくと、身代金を要求されます。


引用元:https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/

 

件名:請求書(00-5523) - 添付ファイル名:68-5182.pdf」等記載されている不審なメールを受信した場合はご注意ください。Jaffのスパムメールの可能性があります。

 

関連リンク

ベンダがWannaCryについて注意喚起

WannaCry挙動の通信

ランサムウェア Locky

 

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop