Locky系統ランサムウェア「.osiris」拡張子の再感染拡大が確認されました。まだ、国内においては被害発生していないようですが、アメリカにて再度の感染拡大かと思われるPDFファイルを添付されたメールがばらまかれているそうです。
手法は昨年と同じなのですが手が込んでいます。添付されたPDFファイルを開くとWORDが起動されて、マクロを有効にすると圧縮されたdocmファイルを展開します。その中に入っているVBAマクロプログラムで通信をしてウイルス本体をダウンロードします。そのダウンロードファイルは暗号化されているのでセキュリティソフトは反応しません。VBAマクロ内に記載されている復号鍵を使用してダウンロードファイルを元に戻します。そのウイルスプログラムでデータファイルを暗号化します。
身代金要求ファイルは、「OSIRIS-16進数.html」です。
その内容は、以下の通りです。
また、昨年同様に拡張子をどんどん変えていく事が考えられます。
リカバリーをしないウイルス駆除、暗号化されたファイルの復号、サーバーの再構築を行っています。
