« How to reset BIOS or CMOS Password | トップページ | マルウェア添付メール: 件名 Your Invoice #XXXXXX (6桁数値) 2017-09-22 »

Amazon Marketplace を騙るマルウェア添付メール: Invoice RE-2017-09-21-xxxxx

Amazon Marketplace を騙るマルウェア添付メール: Invoice RE-2017-09-21-xxxxx (5桁の数値)

キーワード: フィッシング, マルウェア, ランサムウェア, Locky, 暗号化, 復号, 復旧

概要

Amazon Marketplace UK を騙るウイルス添付メールが出回っています。件名は、「Invoice RE-2017-09-21-xxxxx (5桁の数値)」となっています。添付ファイルは、Locky と呼ばれるランサムウェアと呼ばれるマルウェアをダウンロードするスクリプトとなっていて、実行するとランサムウェアに感染してPC内のファイルが暗号化されてしまいます。注意してください。

RE-2017-09-21

送信元メールアドレス

    Amazon Marketplace <EbjkwcXXXXXXXX @marketplace.amazon.co.uk>

添付ファイル

    RE-2017-09-21-xxxxx.7z (7zipファイルの中身は RE-2017-09-21-xxxxx.vbs)

添付ファイル(RE-2017-09-21-xxxxx.vbs)の通信先ドメイン

  • agricom.it/IUGiwe8
  • fulcar.info/p66/IUGiwe8
  • 81552.com/IUGiwe8

件名

    Invoice RE-2017-09-21-xxxxx (5桁の数値)

本文

------------- Begin message -------------

Dear customer,

We want to use this opportunity to first say "Thank you very much for your purchase!"

Attached to this email you will find your invoice.

Kindest of regards,
your Amazon Marketplace

===

------------- End message -------------

For Your Information: To help arbitrate disputes and preserve trust and safety, we retain all messages buyers and sellers send through Amazon.co.uk. This includes your response to the message below. For your protection we recommend that you only communicate with buyers and sellers using this method.

Important: Amazon.co.uk's A-to-z Guarantee only covers third-party purchases paid for through our Amazon Payments system via our Shopping Cart or 1-Click. Our Guarantee does not cover any payments that occur off Amazon.co.uk including wire transfers, money orders, cash, check, or off-site credit card transactions.

We want you to buy with confidence whenever you purchase products on Amazon.co.uk. Learn more about Safe Online Shopping (http:// www.amazon.co.uk /gp/help/customer/display.html?nodeId=110xxxxx) and our safe buying guarantee (http:// www.amazon.co.uk /gp/help/customer/display.html?nodeId=31xxxxx).

感染マルウェア

ファイルパス

  •     C:\Users\Administrator\AppData\Local\Temp\EdxqdRAX.exe (ファイル名はランダムなアルファベット)

ハッシュ値

  • MD5: 939C552FBC07410A99400EBCBCAFCC2F
  • SHA1: BC75609DFC7D72B92DA6DA37CD60A96DD56A0D84

マルウェア種別

暗号化されたファイルの拡張子

  • ykcol

支払いサイト

  • g46mbrrzpfszonuk.onion

脅迫文

$$_+|--==- - * | _

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
   http://en.wikipedia.org/wiki/RSA_(cryptosystem)
   http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program. which is on our secret server.
To receive your private key follow one of the links.

If all of the addresses are not available, follow these steps:
  1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
  2. After a successful instration, run the browser and wait for initialization.
  3. Type in the address bar: g46mbrrzpfszonuk.onion/NKPCXXXXXXXXXXXX
  4. Follow the instructions on the site.

!!! Your personal identification ID: NKPCXXXXXXXXXXXX
=_*$+|| ++
|$$_-*=_++*$=
  ._=| *|.*$=-

関連リンク

    Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法(http://rootdown.cocolog-nifty.com/memo/2016/03/locky-virus---e.html)

スポンサーリンク

« How to reset BIOS or CMOS Password | トップページ | マルウェア添付メール: 件名 Your Invoice #XXXXXX (6桁数値) 2017-09-22 »

ウイルス、マルウェア(Malware)」カテゴリの記事

セキュリティ(Security)」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/503138/65831694

この記事へのトラックバック一覧です: Amazon Marketplace を騙るマルウェア添付メール: Invoice RE-2017-09-21-xxxxx:

« How to reset BIOS or CMOS Password | トップページ | マルウェア添付メール: 件名 Your Invoice #XXXXXX (6桁数値) 2017-09-22 »

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索