今のトレンドですねぇ。請求書メールに載せてランサムウェアが・・・。
ある意味間違ってはいないんですが、ランサムウェアが実行された後に
請求書が出ますから・・・ｗ

☆subject
FW: Payment 16-03-#65191807

☆本文
Dear rurineko,

We have received this documents from your bank, please review attached documents.

Yours sincerely,

Tabatha Watkins
Account Manager
______________________________________________________________________
This email has been scanned by the Symantec Email Security.cloud service.

☆ヘッダー
Return-Path: <WatkinsTabatha62645@telepac.pt>
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on mx.hogehoge.com
X-Spam-Level:
X-Spam-Status: No, score=-6.1 required=13.0 tests=BAYES_00, CONTENT_TYPE_PRESENT,NO_RECEIVED,NO_RELAYS autolearn=ham version=3.3.1
X-Original-To: rurineko@hogehoge.com
Delivered-To: rurineko@hogehoge.com
X-Virus-Scanned: amavisd-new at hogehoge.com
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 mx.hogehoge.com B9B0C61A3E0
From: Tabatha Watkins <WatkinsTabatha62645@telepac.pt>
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 mx.hogehoge.com EE64961A3DF
To: rurineko <rurineko@hogehoge.com>
Subject: FW: Payment 16-03-#659807
MIME-Version: 1.0
Message-Id: <14915ｄ0022927732.07F1BD06DE@hogehoge.com>
Date: Fri, 11 Mar 2016 11:31:26 +0100
Content-Type: multipart/mixed; boundary=”—-==–bound.320ｄ98.d6551ca5.hogehoge.com”

☆サーバログ　実データ　サーバに入ってデータを引っ張ってきました。
－－－－　検索結果　－－－－
Mar 11 20:31:30 mx postfix/cleanup[13557]: EE6ss4961A3DF: message-id=<1491500229277ss32.07F1BD06DE@higehige.com>
Mar 11 20:31:30 mx postfix/cleanup[13557]: B9B0C61A3E0: message-id=<149150022927732.0ss7F1BD06DE@higehige.com>
Mar 11 20:31:31 mx amavis[12376]: (12376-16) Passed CLEAN {RelayedInbound}, [82.154.1.54] <WatkinsTabatha62645@telepac.pt> -> <rurineko@higehige.com>, Message-ID: <1491500229277ss32.07F1BD06DE@higehige.com>, mail_id: SmmIguTc12II, Hits: -, size: 6925, queued_as: B9B0C61dsadsaA3E0, 544 ms
Mar 11 20:31:31 mx spamd[450]: spamd: processing message <149150022927s732.s07F1BDs06DE@higehige.com> for rurineko:102
Mar 11 20:31:31 mx spamd[450]: spamd: result: . -6 – BAYES_00,CONTENT_TYPE_PRESENT,NO_RECEIVED,NO_RELAYS scantime=0.5,size=7113,user=rurineko,uid=102,required_score=13.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=38241,mid=<149150022927732.07F1aaBD06DE@higehige.com>,bayes=0.000001,autolearn=ham
－－－－　検索結果終了　－－－－

ランサムウェアは、サーバに入れているウイルス対策ソフトでは、
ヒットしないっぽいです。CLEANってでちゃってますね。

しかも、スパムフィルターも通過してるし
うまくつくってますねぇ。

☆送信ホスト情報
82.154.1.54

送信国 ポルトガル　遠路はるばる・・・。

☆プロバイダ－情報
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘82.154.0.0 – 82.154.243.255’

% Abuse contact for ‘82.154.0.0 – 82.154.243.255’ is ‘abuse@mail.telepac.pt’

inetnum: 82.154.0.0 – 82.154.243.255
netname: MEO-BROADBAND
descr: PT Comunicacoes S.A.
descr: Dynamic Address Range
country: PT
remarks: NCC #2004061957
admin-c: TP3302-RIPE
tech-c: TP3302-RIPE
status: ASSIGNED PA
mnt-by: TELEPAC-MNT
mnt-routes: TELEPAC-MNT
created: 2004-06-17T15:23:31Z
last-modified: 2016-02-05T17:37:06Z
source: RIPE # Filtered

role: MEO-RESIDENCIAL
org: ORG-TCIS1-RIPE
address: Local Internet Registry Management
address: MEO – SERVICOS DE COMUNICACOES E MULTIMEDIA S.A.
address: Av. Fontes Pereira de Melo, 40 – 3 Bl A
address: Forum Picoas – 1069-300 Lisboa
address: Portugal
phone: +351-215000000
admin-c: LL1052-RIPE
admin-c: MCN5-RIPE
admin-c: HCR20-RIPE
admin-c: NPM17-RIPE
admin-c: DPM37-RIPE
admin-c: LAS102-RIPE
admin-c: TPM7-RIPE
tech-c: RTM15-RIPE
tech-c: FSG53-RIPE
tech-c: JCO39-RIPE
tech-c: PPB29-RIPE
tech-c: HAC24-RIPE
tech-c: HCO6-RIPE
tech-c: AA2895-RIPE
tech-c: PG259-RIPE
nic-hdl: TP3302-RIPE
abuse-mailbox: abuse@mail.telepac.pt
mnt-by: TELEPAC-MNT
created: 2002-08-12T09:57:20Z
last-modified: 2015-06-05T10:59:42Z
source: RIPE # Filtered

% Information related to ‘82.154.0.0/15AS3243’

route: 82.154.0.0/15
descr: PT Comunicacoes S.A.
origin: AS3243
mnt-by: TELEPAC-MNT
created: 2003-11-20T15:22:56Z
last-modified: 2014-01-31T16:21:38Z
source: RIPE

% This query was served by the RIPE Database Query Service version 1.85.1 (DB-2)

とまぁ、２通ランサムウェアが入っていましたので
くれぐれも、こういうたぐいのメールが来ても開かないようにご注意ください。

☆興味深い記事がでていた！Macだから大丈夫だよね？　危ないですねぇ。
[blogcard url=”http://www.itmedia.co.jp/enterprise/articles/1603/07/news068.html”]

The post またきた！！ランサムウェアメール・・・ first appeared on ～下町物語～.

久しぶりにウイルスメールがきたので！早速晒してみようと思います。
今回は、英語で書かれたメールです。

メール送信元ホスト
broadband.iol.cz

国 チェコ　からはるばると！大変ですなぁ。
下記がそれを持っている会社になります。

inetnum: 160.218.0.0 – 160.218.255.255
netname: EUROTEL
descr: Address block of Eurotel Praha
country: CZ
admin-c: ETHM1-RIPE
tech-c: ETHM1-RIPE
status: LEGACY
remarks: For information on “status:” attribute read https://www.ripe.net/data-tools/db/faq/faq-status-values-legacy-resources
mnt-by: CZ-EUROTEL-MNT
created: 1970-01-01T00:00:00Z
last-modified: 2015-05-05T01:40:57Z
source: RIPE

role: Eurotel Praha Hostmasters
address: Eurotel Praha, spol. s r.o.
address: Vyskocilova 1442/1b, P.O.Box 70
address: 140 21 Prague 4
address: Czech Republic
abuse-mailbox: abuse@o2.cz
admin-c: PS88-RIPE
tech-c: PS88-RIPE
nic-hdl: ETHM1-RIPE
mnt-by: CZ-EUROTEL-MNT
created: 2004-10-25T14:28:13Z
last-modified: 2016-02-22T07:43:22Z
source: RIPE # Filtered

% Information related to ‘160.218.0.0/16AS5610’

route: 160.218.0.0/16
descr: Route object of Eurotel Praha
origin: AS5610
mnt-by: CZ-EUROTEL-MNT
mnt-by: AS5610-MTN
created: 2015-05-21T11:19:42Z
last-modified: 2015-05-25T12:12:53Z
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.85.1 (DB-1)

チェコからウイルスメールを送るやからって・・・。
そして、多分このアドレスがどこからか流れて流出していると思われる。
そろそろアドレス複雑化して削除しようとかな。

さて、本文をみてみよう。

☆subject
FW: Invoice 2016-M#51136598

なんだって？請求書だよ!2016年のと書いている
ただし、チェコで契約しているサービスなんておもいつかねーし。
そもそも、ＦＷって転送してきてるの意味じゃね？

請求書を転送で送ってきてるのね！ｗｗｗｗ
転送で！！！もーえーわ

ヘッダーは、特に偽装なく直で来ているかと思われる。
流石にリターンパスは違うと思うけど。
ただ、このチェコのＭＸサーバがオープンリレーなのかもしれない。

☆ヘッダー
Return-Path: <VasquezMildred80@broadband.iol.cz>
X-Spam-Checker-Version: SpamAssassin 13.13.11 (2016-03-16) on mx.hogehoge.com
X-Spam-Level:
X-Spam-Status: No, score=0.7 required=13.0 tests=BAYES_50,CONTENT_TYPE_PRESENT, NO_RECEIVED,NO_RELAYS autolearn=ham version=3.3.1
X-Original-To: rurineko@hogehoge.com
Delivered-To: rurineko@hogehoge.com
X-Virus-Scanned: amavisd-new at hogehoge.com
X-DomainKeys: Sendmail DomainKeys Filter v9.10.11 mx.hogehoge.com 70A62C61A3E0
From: Mildred Vasquez <VasquezMildred80@broadband.iol.cz>
X-DomainKeys: Sendmail DomainKeys Filter v9.10.11 mx.hogehoge.com 93044612A3DF
To: rurineko <rurineko@hogehoge.com>
Subject: FW: Invoice 2016-M#536598
MIME-Version: 1.0
Message-Id: <2147945s18072491.88aF122EB08@hogehoge.com>
Date: Wed, 09 Mar 2016 18:18:27 +0200
Content-Type: multipart/mixed; boundary=”—-==–bound.69007.360b28dc.hogehoge.com”

本文ですよ！本文

☆本文
Dear rurineko,

親愛なるるりねこ

Please find attached 2 invoices for processing.
２つの請求書があるから、みつけて処理してください。

Yours sincerely,
敬具

Mildred Vasquez
Financial CEO
金融最高経営責任者

たしかに、添付ファイルには２つのトロイの木馬がついておった！！！
２つの請求書ね

Payment_2016_March_536598.zip > ZIP > watch.741428276.js – JS/TrojanDownloader.Nemucod.IM トロイの木馬
まぁ、あらがち間違いじゃいない

ランサムウェアだわぁ
これを実行されると、暗号可されてお金を払ったらファイルを復元してあげるよ
どうする？となるわけだ！！

今回のはこういうメッセージがでるようだ

↓にくいねー！！
この添付ファイルは、シマンテック　Ｅメールセキュリティによって検査しているから
安心だから開いてねって事が書いてある！
______________________________________________________________________
This email has been scanned by the Symantec Email Security.cloud service.

まぁ、そんな感じでありますので
気軽に開かずに捨てて締まってくださいね。

The post フィッシングメールというより、ウイルスメールきたぁ！！！・・・。 first appeared on ～下町物語～.