ども。こんばんわ。

久々にスパムネタ。

連続で7zの添付ファイル付きスパムが来ました。

結論両方ともvbsからのLockyでした。
拡張子が「.lukitus」になるLockyって最近流行りなんですかね?
別のマクロウイルスでもLockyがきてました。

一昨日くらいから増えた印象です。

ちょうどそのくらいからネットにも出回っていますね。
※うちのサーバにも最新っぽいマルウェアきててちょっとうれしい。

【関連情報】
Locky ransomware resurges with Diablo and Lukitus
https://www.webroot.com/blog/2017/08/17/locky-ransomware-resurges-diablo-lukitus/
http://www.zdnet.com/article/locky-ransomware-is-back-from-the-dead-again-with-new-diablo-variant/

 

一つ目

ファイル名:IMG_6939.7z
MD5:8e160db33127cd5bfe2f4bc08ca3fd8c
SHA1:ef234c0cbdffd032023985a9895ce98ac612da5c

7zを解凍すると以下のファイルが出て来る。
至って普通のダウンローダーって感じですね。

ファイル名:IMG_0109.vbs
MD5:dd4dfd04a5d9bea3852834612439c7bd
SHA1:8c00b7bb8dd4ad4f6520eacaf7540d9af703d10a

https://malwr.com/analysis/MDcxNjJkYmFlYmZkNGM5N2JmMDgwZTJiYmViNzQ4MTQ/

落としてくるファイルがこれ。

https://malwr.com/analysis/Y2ViM2QxMDhiY2VhNGVlZDliODg4ZWIwYzc5OTU3ZjY/

Malwrだとわかりにくいですが、こっちだとはっきり暗号化されてるのがわかりますね。

https://www.hybrid-analysis.com/sample/6d5d672d9e8402a4e6a2309c71443e93efccccee8f9959afc24ae9a89fe2935c?environmentId=100

これも、Lockyですね。拡張子を「.lukitus」にするタイプっぽいですねー。

https://www.virustotal.com/ja/file/6d5d672d9e8402a4e6a2309c71443e93efccccee8f9959afc24ae9a89fe2935c/analysis/

2つ目

同じくダウンローダーでした。
落としてくるファイルはこれみたい。

https://www.hybrid-analysis.com/sample/ee222c0b66961c8b10ab2f92af2872d72e369a4cb315b496b0343b6004c19eed?environmentId=100

これも、Lockyですね。拡張子を「.lukitus」にするタイプっぽいですねー。

なんで、7zなんだろう。

ではでは。またの機会に。