にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

Jaffランサムウェアのもろもろについての調査メモ(2017/06/19更新)

どもども、にゃんたくです(「・ω・)「ガオー

 

世間を騒がせているWannaCryランサムウェアの裏で、「Jaffランサムウェア」というランサムウェアが流行していることを5月の中旬ごろから確認しています。

 

だんだんと日本でも報道されるようになってきました。

www.itmedia.co.jp

 

gblogs.cisco.com

 

blog.kaspersky.co.jp

 

blogs.yahoo.co.jp

 


ちなみに、Jaffランサムウェアに感染するフローはこんな感じです。

 

①不審なPDFが添付されたスパムメールが届く

②受信者は添付されたPDFを開く

③受信者がPDFを開くと、PDFに埋め込まれたWordファイルを開くよう促される

④受信者がPDFに埋め込まれたWordファイルを開くと「コンテンツを表示するために編集を有効化する」ように促される

⑤受信者が編集を有効化すると、Wordファイルに埋め込まれたランサムウェアダウンローダが起動し、ランサムウェアに感染する

 
今後、Jaffランサムウェアによる攻撃が日本にも来る可能性を考え、現段階でJaffランサムウェアについて判明しているデータをまとめてみました。
監視などを行う際の役に立てていただければ幸いです。

 

【Jaffランサムウェアの復号化ツール情報(2017/06/19更新)】

Jaffランサムウェアの復号化ツールがどうやらリリースされたようです。

復号化ツール名はRakhni Decryptorです。

以下、ツールをダウンロードできるリンクを記載しておきます。

http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip

http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip

※上記どちらからでもダウンロードできます。

 

上記のダウンロードリンクのあるページも載せておきます。

https://noransom.kaspersky.com/

https://www.nomoreransom.org/decryption-tools.html

 

 

 

また、セキュリティリサーチャーの辻伸弘さんのブログに復号化の仕方について書いてありますので、復号化する際の参考にしてみてください。

csirt.ninja

 

 


【調査概要】
■参考サイト

Malware-Traffic-Analysis.net

Internet Storm Center - SANS Internet Storm Center

Cisco's Talos Intelligence Group Blog

 

■調査期間

2017年5月中旬~

■抽出するデータ
PDFファイルのハッシュ値
Wordファイルのハッシュ値
Jaffランサムウェアハッシュ値
Jaffランサムウェアのダウンロード先URL
感染後にTorブラウザで接続する先のドメイン

 


※注意※
以下記載しているURLやドメインには直接アクセスしないことをおすすめします。
なお、アクセスし被害などを受けた場合でも当ブログでは一切の責任を負いませんのでご了承ください。

 

 

PDFファイルのハッシュ値まとめ(2017/06/07更新)

スパムメールに添付されているPDFファイルのハッシュ値まとめです。
※いくつかのハッシュ値の後ろについている「~.pdf」はPDFファイル名です。

 

  • 0a265c366932405a3247508a1a1a65241681e9d698acf31c828f0b6c68a04be0 - nm.pdf
  • 1100f0d5e11ef9177c6b45b58999f86a2f1451668721ae6b2e73135cf3e487c8 - nm.pdf
  • 235b8bf934ba5a562a7f47e8f622092ef6492bab644eb9a0b63f1aa9cb685d84 - nm.pdf
  • 3028117d9773d4f978abd6ac6d14f17593e69297efec757104c4098ea5ad1768 - nm.pdf
  • 358a6decd42df41c0234e5f14f5ad572e4da50ee030b8a9569821f4ffb6c8cd3 - nm.pdf
  • 372adf1cdf70c716da09c5b2aa2ab1f3d48a6e3d1a7a969eb847d6562e0e0a3b - nm.pdf
  • 3b7cd88cf3acb5e617b5bfdaab43413e96147393dc6fae264a8ca361381344c9 - nm.pdf
  • 3e4bd555d5eb34cf3b79d21ab7788c9cf3c6be3eccff48655c265e31dceaf599 - nm.pdf
  • 47e81d1de081e4e435bdbdd0df2857055fffdf749ddf7c1bb1f2e0040241724f - nm.pdf
  • 57bfe19f9615f026765825689cdc26725f4f24f23123bdcc35aeddbdc5274fc4 - nm.pdf
  • 6c4c5a1500a014aba0b5a01193abe9dd22c960028fa77ab9f3f8a678ad42dd03 - nm.pdf
  • 8a3070bf1c86dfa86650e717c2d466f62ff253f28797a42bff819ed17571cbb0 - nm.pdf
  • ac5c2c47c4cf28ee8336a51ed33eec40ef76b7990691f23eade0b240cd61c40b - nm.pdf
  • ad454b174bc2d2903fc3063da2c918daf9c2bb9ffa1e13f6db42ad82f549cefe - nm.pdf
  • b0f475e09e82891cbcd6c2a823000161191ea6d899f9d610f508ab26dee59584 - nm.pdf
  • c3cf407f5c6269d79aef3f2e8bcf296a325fa067aa1af3f44c6e53189f66e111 - nm.pdf
  • eb41eb3aa7d96ceebefa633cb519fae84ca66dd434cf3303576e9aff86a02f61 - nm.pdf
  • f712e08b8020c5a0615a0f128ea9a891d2d45deafe7446c11f9227bd77dd28b3 - nm.pdf
  • 5968b7a89e5d1db8447b5343f20362ab713551a94226fb905fff7a067c770c79
  • 279bd153041b64966147eb7d036f570199e2d068c92746eb3e571d49fd7e3805 - Invoice.pdf
  • 5b10d2ae464ec1b3c5d62d70d452d205419c0892fa2d21892767f8f30a6b8e98 - Invoice.pdf
  • 5da7c8bf86dc71531b2cd34e565385dae7b080cde104e5abe29577ed03787a71 - Invoice.pdf
  • 66c406bbe06a7804508e39eb3822b0a4f27b14a9d4c5dff970d559bcd88d6abc - Invoice.pdf
  • 728174eddaf20492bfc3d85df3148aad3ff2677c88c901d727272c0f1aa4a0dd - Invoice.pdf
  • 85640107aec9c21f6fdcf62ef79046aa57c18da35d29795febb7ac634165f93c - Invoice.pdf
  • bd5cc7c63481cb6f54b8ddd3b459976021839119f2f57a2f60e52159ac0c184d - Invoice.pdf
  • ebcdc058e4d7d7e2d9bcf59042c50814c335e3aa18b59f76a9eccc9918c78bb7 - Invoice.pdf
  • 10321320369049daf9e10a898d44d489c5c1eba376c4ee9144257e2285634aa8
  • 11f02f894bd5773bf5a6b6da6336881d30f525f16bfc938c42d6e305de6b2f46
  • 476d6c030f56b9727abd5da5322efb08063a50e6b71562fb40eb779b1d3689ff
  • 4967779ed93e178ad3e5d895a434f4866f77ddc3df9e9f3c0c69d9c6419835d6
  • 6df458c9e52d9b104f8419a5bdfe320730b07642af007972b0fa72200e4949ad
  • 7b007efc9a703bbaeebd9bc443efb9f8c6300c3f1480a040a81a2120dc5c97cb
  • 7cd7a975ac42b409d97161c5fb3e100552bc5c2eaeb6e196b45e2a55c5086b17
  • 9e31d8584c3d281bb264e6cccd38eb25ec8d1b7a11af85b2e42c335a06c78bfd
  • d36aa76aa38e01bdc5d1ce3c83bffb402e0b8e7ff5200e79ca700864ac9abdee
  • e08a6331873d1aea6d6ec8178d550a56a98895fb268c430948af9bc1098a9762
  • e1aab160d59b83a9b62dc2609c2d55b7f07387f4b84041c18efe068e05f9b9dd
  • 23b8ff79b843ec1b7b963bd7bff5d30161bf805bb2b8904c336d2da3dcf41dcb - img_9117.pdf
  • 6faa78da1d6d8028d61ea96e16089893e3ba93e4dc357d552edd58df0bcfe2cd - img_5426.pdf
  • 9580f0eb3807e78ec876fb1b439a3455113d5e66d2d3470bf0eca06748fc9ee1 - IMG_8010.pdf
  • eb3cee41ccabe1449d99d36c255dc9d6162fe5931f32a9f73464be67df8b80cb - IMG_6943.pdf
  • 0218178eec35acad7909a413d94d84ae3d465a6ea37e932093ec4c7a9b6a7394
  • 0a326eb9a416f039be104bb5f199b7f3442515f88bd5c7ad1492b1721c174b8e
  • 21da9eeded9581f6f032dea0f21b45aa096b0330ddacbb8a7a3942a2026cc8ca
  • 4458f43127bb514b19c45e086d48aba34bf31baf1793e3d0611897c2ff591843
  • 66320f4e85e3d6bd46cf00da43ca421e4d50c2218cb57238abb2fb93bef37311
  • 7dd248652f2b42f3e1ad828e686c8ba458b6bb5b06cea46606ceccdd6b6e823c
  • 8a474cdd4c03dd4a6ba6ad8945bf22f74f2f41830203f846d5437f02292bb037
  • 956e43ece563fd46e6995fae75a0015559f0a63af5059290a40c64b906be5b9b
  • 9beb67a68396375f14099055b712e22673c9a1d307a76125186127e289ab41a2
  • b2b9c02080ae6fbe1845c779e31b5f6014ec20db74d21bd9dd02c444a0d0dd9b
  • c126e731c1c43d52b52a44567de45796147aca1b331567ed706bf21b6be936b4
  • cde2ff070e86bc1d72642cb3a48299080395f1df554e948fd6e8522579dfe861
  • daf01a1f7e34e0d47ecdfcef5d27b2f7a8b096b4e6bc67fb805d4da59b932411
  • e477300e8f8954ee95451425035c7994b984d8bc1f77b4ccf2a982bb980806fe
  • 0237ae2520a441751b224d56aa776ba3758d07073b5164c5174ea2e4990f8462 - 4163.pdf
  • 0d33a0f086710c812794dc20c6057d422c74c582b6bb737b3c3ade0fd369c801 - 2317.pdf
  • 454d5ec8cac7915ab1b02852007d28a65a5076fbc28e5b6ffbb6bca290596a9e - 4022.pdf
  • 4f332611fe30a155fcd73aff87135035436196acbb8ccf219efdc8a3c3b7ae14 - 74332.pdf
  • 2ac01c6385135cc695abdf4e9e34d7618a7e0b81285e1f3123df54a9572982fd - 79443215.pdf
  • 753550a1aa18b506693af9e1dd3af81de174cd88e820a7c87e9a8474456d3deb - 77586054.pdf
  • 7cf89ac46a7bfcb8657c8b7bfa9f39c5396ec62ef9e86416f4780138c72e9040 - 41021119.pdf
  • 81ef38b0fb7c395c05f593847074021743b4b2a4b1b45478e25cf64194a67aef - 35418461.pdf
  • 3d42c848fca91239bbf1e922943c6466aa44be43ebf7ca0ebcab59bb2e27eb38
  • 49ac12934894982da7654a10e8d5cc3f5df500f7bde58481cce63f8b1ce5d969
  • 4e781c648bb0aa0b1d41b61932d4935b3b5d0c9473d13a1b6a1cf4d8ff85e14a
  • 5be7c72e40d26e2df89d3aa0d590bb5af51248e4cab27dde444dec4d1e76364c
  • 8db8b32eaca86182497b83614e15c0693ed6a4d42443e0cdb779c5d6035633f4
  • b6727793ddc9c4ac6baf600834b38b54de23628b3bec631cfb6705c6fecabf2e
  • c8fb245c25e7091489f26c538658637f9bfb82a5434282690aebe99015b42070
  • f8a75a98f671644d6ee626a8920b41e4843f018b479ec82a090d01a8986b70d5

 

Wordファイルのハッシュ値まとめ(2017/06/07更新)

※PDFファイルに埋め込まれている悪意のあるWordファイルのハッシュ値まとめです。

※いくつかのハッシュ値の後ろについている「~.docm」はWordファイル名です。

 

  • 1b33cc35011ddee5766342ba26f9964712f6531c6c057138890e36a58404d5b0 - OASOC.docm
  • 20c7800aa15b5d378ff3b39e9c901dc68a12489a4a1800a6ec9b59f16ba1bafc - VRAQJFN.docm
  • 219485c2dd60f9cb70a1c787802551f77e6cb1b421568372d425ffa49772fca8 - UG6F2EG.docm
  • 29c027a3386083974b6dbf51d1e0c2e3f89b78c44bda350a543af4c5a813f456 - R5ZWWKW.docm
  • 2efcffff5c144f8397da3df815f15145a0600a85a612ede9e0ae6846b7bf5388 - KJBXFNG.docm
  • 4792532defb4431aa399f649a3e443a62f062e4a99458c7ee240c2ae5d6716f4 - DAM869G7.docm
  • 517b9cb82b4d4e7e8af5ec96cc832bcd0ec6d1203bc8046c8e3d546e3b283e65 - NFSX8YGD.docm
  • 59959df33f904f32046e4f79830f574862e8fe9edae75f88f91064bebb5f4d8c - UOX22.docm
  • 59be1462a0d8fe2dcb88f6174e9d671bba7d8969a46dc5f566e006acec4df671 - YVFUI6ANI.docm
  • 641b2ad3d345b97a8c92d152bb3f9b4b8a98af41ce3d1a9454fb804cce8f26dc - W7NXLMV.docm
  • 6d31108908dc891f1c784831acfc69c5da65d982d8928da5ccfd0b15351aa3db - KUM1PQ.docm
  • 6e7ff200d849d8594ddb72d4840daefa78d0d025f28d26c6c96f2eaccfba19ba - GCWJ9Z.docm
  • 713e492aa212eb265de9dfc1d615dd57940aa3bde5293aef15165da027e28d3c - OWZGY.docm
  • 7c550b82d112e065890a8e7efe862832b32cfeeb4f6a9ce85151525147a7cb9d - JXMDE8A.docm
  • 9e441538b51c24f8f1e32411a52b58c1aaf6a591e96b5a17eebd3550da185baf - CAFZIVO.docm
  • aa576e4bd47c41c783a20b41920601bfe092dd10ec262917e50b363eb132f958 - KFIG8EHN.docm
  • b6c2f3466a76a56d0e0a373130e6f147fa1e11a0faa9f146d3418b4c477fc7ea - BMBU5E.docm
  • c20562703066886685e5980ebc9f94499f9a152e628777f15592e4092348b9e8 - XQHPYQ.docm
  • a5008680100ec970009eb68b5e8bb98af5fb58aef5b8f043e1517390245e0edd
  • 1bc1196f611d2c6e5bd904160354fe1374c39b907411a5a15592bbc80bd4c4c4 - VEZLGKVC.docm
  • 349365e97bba0377c960894ddcdb9939e386b55e764b7d3f8257aa538866167d - LNJ9DNIJ.docm
  • 4da60d4278f4996163f5ffa28196919369d4ca365245ce8c60dc46bd9d816667 - HSOTN2JI.docm
  • 4ff07b88668dfc828f18859b84805aae9c06b485594d029e42c1b0c9255988e6 - U4HKZVPRL.docm
  • 9c9e0e6900b82b14816ccd7dd3f3269c44bb752a63c63afe652feaf090c551c2 - UCER2Q.docm
  • a7810d1b9d50e78157ee43d2c6f34dddd70f11bc0c76311a0e223fbd9ee20165 - HBTEJ.docm
  • b8ddb998befb348bbc242ed66757b8024f4fceec1f5b5b145f8aac5874d9e81f - GUMHSZUM.docm
  • d30b4f0c787794a838b3cf34bdaee77bc95f42fe84bef67c5283033ee4265111 - UTTNNVW6V.docm
  • 2fe146a9b8857e4c8fb8feb41952ec58c7bfc2c4c8fba2ac3c8bce28ce8bd468 - DLYX3.docm
  • 43c96848e38431c5b9d90622808733cfe011e6b1a04b0c8f5e4e50a205ea95f9 - LOASWA.docm
  • 5406916f81e8c20f61d0ff8f3242642d6d04ffb0c0c2d351bfd166aa3b62a44b - VWJEPFUGN.docm
  • 56db9d583df62c240576b372e0ddfaadd8adb2e40d0af974d8b7cd33bc06443a - VNNCTVG.docm
  • 8f04b9cd61543f8211285cd72f3a73d55cc2035da5e9abd44ec82f6a6b820ba6 - XJ3ZKWN.docm
  • a358fb67469ea758d100fe42423b6b8c1085b47efa701e441fc20af11dc9d307 - BMUC3LI.docm
  • a5563ae47b4aefdc8ce88dc82bd920446abdd7bcdf9c0c0196ee534aeebd2c5b - HMFQD7F.docm
  • b657ee84e4358187091ae49dbecade191418624d0ec1958524fc9d2740b0d623 - WBLYJOFBR.docm
  • cbd9fc0ee67a1edd2511773cb013d2db55f4f42c15b1fe37b417bf096ca7f029 - HC5TMRFS.docm
  • cc18fd9d51b01cd3dc5f6a07403a933baa8ec648e0b65835bf10a8efdc583217 - LXC9UU.docm
  • f3a3299f3ff1e51b5d52c99c78df7a6a585c1a2686a8468a3dfacde9a6fe6b4e - SOBFSGAUV.docm
  • 018c0c2a56bcc94364aed07341e529c45f52c1e011b84fe5603a10d3f59e6f85 - T9PIQ.doc
  • 3084e31a061f6adf56486e959450166671072c5503e35703a70f8f40424d7188 - U2MH1.doc
  • a9eeb194ea0cfa3fb46a651b328e56fdd4428a13c893a4066a75bf407a14ab65 - GWM2CKV.doc
  • df85f57b904273a5f14ee5f7f3aabdcb1f3c882f30e05caa05dc76c138f878e2 - XXZSTFDB.doc
  • 084ee31e69053e66fafe6e1c2a69ffec015f95801ce6020f7765c56d6f3c23ff - PQQIDNQM.docm
  • 0855061389b62ec6a9b95552357ff7571ae5c034b304978a533c6cba06c3f9e8 - GYTKPVM.docm
  • 1f2598dc7a7b8f84307d8c2fa41f5550c320f8192cd41e50b47570d3836e6fcc - RNJSMOVS.docm
  • 2dbf9e1c412aa1ffd32a91043642eb9cc80772c87dbbce3dd098c57d917277fb - DLDD7LH.docm
  • 3f95a7eeb1965193a4e92862c10897e04708b37b793b8e45f890d019358214c0 - DC2ZPQ.docm
  • 56cd249ff82e9bb96a73262090bc6a299ead64d6c75161520e745c2066f22430 - KAR6WLU.docm
  • 795d8312749c122fa10a93c9f3aa1c0f4ffc081714c0ddb66c141334f8ef0633 - M4SQLA2.docm
  • 8906d10a48487d8240bddd0c0cb5c076e88104c86bdf871b0143d74b6df3cc98 - NQBCXP4.docm
  • 91aa966e837c4144a1294aa912a2162397f3a6df98cf336891d234e267cd919f - RNOHLIAFU.docm
  • 933fcc1bf90716abf7c4eaf29b520d2276df895fb4dd5a76be2a55028a4da94e - PCHLUPL.docm
  • a98782bd10004bef221e58abcecc0de81747e97910b8bbaabfa0b6b30a93b66b - Q1DOEY13.docm
  • ae244ca170b6ddc285da0598d9e108713b738034119bae09eaa69b0c5d7635f8 - TH1DZZPT.docm
  • bc0b2fbe4225e544c6c9935171a7d6162bc611a82d0c6a5f3d62a3f5df71cf8c - OLZNKWSOW.docm
  • c702deaa2fe03f188a670d46401e7db71628e74b0e5e2718a19e2944282e05cd - VUG3FBFO.docm
  • 549acec1f738a40d4097ba096ff2827bc76481b3f4dd73ef0fab437eb476be29 - U9P2HY9.doc
  • 8abb70a36f99ee613f65535aeaaf28a3d0e79df7129110f4f9ef50833f664354 - NCVH2PL.doc
  • 9383ade91f05af3f350831ac76ba218e42fc033964753e6db71c0fded5b0b832 - WXEVIR.doc
  • c47090ad7c20f9cafee4e162985f6a2d8b60c4e3b3327d532e70a167b8a1a9e8 - W2X2PEW.doc
  • 5db77f4e40f002917e99670f23976d883e67b17cffbba0b5801328b6c49c81f8 - YLRZLH.doc
  • 830de9a72c138440482d0b7049f8d1a4de4906574043e721cd7d1487f2de2100 - XKDQK1N.doc
  • 990ec28dd5d11e294910e2ed1e7bae6cc57272af402d6bf7bd3db9fd5dc89c3a - FXCHG1Y.doc
  • b4304a0346bae39f2e158d2ad404f8b45aba2640fd903b26c5d6ca07ea9611ff - YVQEG23K.doc
  • 1b5882d4a1feaa522ebbf056b5e25885511a979204f570bd54853d8f343ae6e9
  • 308c2b5fa10c32adbfc4d878b864a9daefbdca679ad5b2016a311476caea0e9a
  • 48c89d083f6a73cf48b6c345e1ff20671a944e9905d95a50f8aa865e74e175c1
  • 691f30943872f5a1037d774942f4e41141bdd3f12c5b78d3dc7bdf9f0471a349
  • 813d2d846de303fd5231b43a69102c54936d8e4649aa25263d6287faac806fd7
  • a57c3a2c291048a7b8968f81fb24aeb91f6c50130665389115ea9abc0506180b
  • e77f5822dfaedae8a44ff1f77c5f074c6fb4e6492d8a7debcddb1629bcd02323

 

ZIPファイルのハッシュ値まとめ(2017/06/15更新)

  • 6643ae22814b118da4af55b365d62ba5c032b66e9717cde499c4e578d6fe3aa7 - invoicepis0413254.zip
  • 8be825e2a658d5c23bf434cf4b52fd6c7d6b8ff7184274622b4fd1178e72d738 - invoicepis1314074.zip
  • b8fce962dea3d0f76f020bc89402b69df272ed81569bdd302ace4ff4a054e0ac - invoicepis1695072.zip
  • 7f7423a76c055116f55a424fb5fa03069a63db3d06b764bba057bb9678e95a32 - invoicepis2233669.zip
  • b808ab2a7be1c153fb3511c5dff97a9cd1c645628933c545edf91001af52bdfe - invoicepis2436728.zip
  • 5bc0649ae27083ba74eddd3d9f98cd1d1733cb1c1a5a1790f0fa979c0604db38 - invoicepis2511038.zip
  • 62ff866da9576e2b178f6385465c45f4773ce37fcae0c101865d71d1c4500ea3 - invoicepis5416591.zip
  • 0daffeae3bba397f66565872c0a97f436f23deac3e5d1ee1eb76d67006e1956e - invoicepis6680000.zip
  • 51d30e6b11a2a1b0e963644d50bb43fc4ba58e4f5864c0999a69ad7001256b28 - invoicepis8938690.zip
  • ff788450fff963c894cdc4eb909e7b59a2a4896c325d44164ccc9acc93122c00 - invoicepis9587975.zip

 

WSFファイルのハッシュ値まとめ(2017/06/15更新)

  • 78559cb2823bcc6652ce6d5b9b4049b8b3a1147373d310f820ce6a943d107f9b - AXQ4CXPA.wsf
  • 88fedc4d8bae75ff479f279d32c347b9fc46db34aad8548322e8b343b5f1f36d - B9UHRNO5.wsf
  • 00055a1a81ca4522d0c849843dd82482beb0c0a11e077eab92ce29500e699ab5 - FTOZTGYDZ.wsf
  • cf8236b8f144ccb425d031d2cf00aaedba438718eccf878ddf52c23c56c8ae2a - HF4YIDIIL.wsf
  • e6e83f833b75e15437611c0b3ba0ff074861f47641e9807b9fd80cfcedc535e0 - JODUBWOOW.wsf
  • 3bca60bc39b2477fe678c5ae42d3d9b3e6a4c841005e513544f18d82b5808fdd - JPS8FFO1.wsf
  • 67cf8484de51cc971cea3b83abc6a1faf4eee5bed13fd1278a6c94382be8027e - MTSUQM4J.wsf
  • be22ebcc446ca3c537256f14ae114bf4e2e2a131e8bbc153d6605a0e089493a9 - N82QC77I.wsf
  • 07e014544fa7c3f6553dfb8ad82e0c83c7bbab5f60558fa3f64a70ea0d7cc1f1 - OEOOWNGE.wsf
  • 4d581ef9c463ab6496d340335cec683833794b2efb1edde70a3c63726bcd008c - OOJVFMYO2.wsf 


Jaffランサムウェアハッシュ値と配置されるファイルパスまとめ(2017/06/15更新)

・1be07198c324c9732d4e2676945ec021eeacd78775aea2100f49ca0483d3f901
  C:Users[username]AppDataLocaTemppitupi20.exe
・41bce3e382cee06aa65fbee15fd38f7187fb090d5da78d868f57c84197689287
  C:Users[username]AppDataLocalTempdrefudre20.exe
・387812ee2820cbf49812b1b229b7d8721ee37296f7b6018332a56e30a99e1092
  C:Users[username]AppDataLocalTempgalaperidol8.exe
・3105bf7916ab2e8bdf32f9a4f798c358b4d18da11bcc16f8f063c4b9c200f8b4
  C:Users[username]AppDataLocalTempuzinat8.exe
・077b498d9cc163e1ff5547e1abd625b8655f0339cb5e79d64c2ded17abb9e425
  C:Users[username]AppDataLocalTempruhadson8.exe
・557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835
  C:Users[username]AppDataLocalTemplevinsky8.exe
・2cc1d8edc318e0e09aad6afbc48999980f8e39e54734bca4c1a95c7b5db39569
  C:\Users\[username]\AppData\Local\Temp\bruhadson8.exe
・824901dd0b1660f00c3406cb888118c8a10f66e3258b5020f7ea289434618b13
  C:\Users\[username]\AppData\Local\Temp\bruhadson8.exe

・03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
・d8bb054fa738d7ba1b88f65e2b7dcf40a234bec8ec318e472380b603ed9ba0dc
・b9434c5fd5eefb8fb182024ecd3da4888222cae8a230fc0a778a7b712746f9f3
・64580b7bb2eedf6e2d2f5e773b34a62f5065c4cb167cd4ed0791050f425c546e
・8dbaab384ecd5386d960d1dddd7fd50ab3a30389dd5b8e516c5d873d77a1bbf9
・aca726cb504599206e66823ff2863eb80c6a5f16ff71ca9fcdd907ad39b2d852
・341267f4794a49e566c9697c77e974a99e41445cf41d8387040049ee1b8b2f3b
・e081c4557f4153d2fc9102fabc55aa6acdf8e1e11062529c728f4506b0d981b9
・5f1fcdfb951dc4642ce136a5d3e6bc42021f8e0cd631975a5eb3842da020531c
・0746594fc3e49975d3d94bac8e80c0cdaa96d90ede3b271e6f372f55b20bac2f
・f61d07cd7d32a6cb9ead8e82f43ef84cf54a89ef571d9b2a9cb0ecaf5319f5db
・387812ee2820cbf49812b1b229b7d8721ee37296f7b6018332a56e30a99e1092
・a0f72a7e67bfed40031c52a706b45de3787958729a308b5f15e754341022ed8e
・6b5759c6c3d7c7c21859023b4fcc443aa5343759a7a08c3870c5269e5c34a958
・94195aa110563ab1bd2542fb71806df5921c4c730036aa8faeaf537dcc01162c
・2bc87f1bbfdb23fe503ef89bcbf6908ffd7218433e0fbfa51282c0dc51dece01
・d1537972d7ac8f5f7c675c14027336715cb0bf91fe440d792e990d0efbd52710
  \TEMP\ratchet20.exe(上記17個のHash値と関係するファイルパス)

・3377cbe4f2618e65f778d029e654a4cf07537c6cfb6b87c668ba2882d9bb4b44
  C:\User\[username]\AppData\Local\Temp\miniramon8.exe

・001268d7fad7806705b3710ccc8cfffb2c2cfb830a273d7a0f87a5fa6422b9f5

 

 

Jaffランサムウェアのダウンロード先URLまとめ(2017/06/15更新)

※悪意のあるWordファイルに仕組まれたマクロが実行され、Jaffランサムウェアダウンローダが実行された際の通信(ダウンロード)先URLです

※『.(ドット)』を[]で囲ってあります

※下記では、(例)【xxxxyyyyzzzz[.]com - GET /123456】と表記していますが、実際のURLは(例)xxxxyyyyzzzz[.]com/123456】という意味です

  • 5hdnnd74fffrottd[.]com - GET /af/f87346b
  • babil117[.]com - GET /f87346b
  • boaevents[.]com - GET /f87346b
  • byydei74fg43ff4f[.]net - GET /af/f87346b
  • easysupport[.]us - GET /f87346b
  • edluke[.]com - GET /f87346b
  • julian-g[.]ro - GET /f87346b
  • phinamco[.]com - GET /f87346b
  • takanashi[.]jp - GET /f87346b
  • techno-kar[.]ru - GET /f87346b
  • tending[.]info - GET /f87346b
  • tiskr[.]com - GET /f87346b
  • trans-atm[.]com - GET /f87346b
  • trialinsider[.]com - GET /f87346b
  • vscard[.]net - GET /f87346b
  • wipersdirect[.]com - GET /f87346b
  • urachart[.]com - GET /hHGFjd
  • fotografikum[.]com - GET /hHGFjd
  • 5hdnnd74fffrottd[.]com - GET /af/hHGFjd
  • byydei74fg43ff4f[.]net - GET /af/hHGFjd
  • sjffonrvcik45bd[.]info - GET /af/hHGFjd
  • herrossoidffr6644qa[.]top - GET /af/Nbiyure3
  • jsplast[.]ru - GET /Nbiyure3
  • juvadent[.]de - GET /Nbiyure3
  • opearl[.]net - GET /Nbiyure3
  • playmindltd[.]com - GET /Nbiyure3
  • sjffonrvcik45bd[.]info - GET /af/Nbiyure3
  • tidytrend[.]com - GET /Nbiyure3
  • titanmachinery[.]com.au - GET /Nbiyure3
  • tomcarservice[.]it - GET /Nbiyure3
  • ventrust[.]ro - GET /Nbiyure3
  • vipan-photography[.]com - GET /Nbiyure3
  • wizbam[.]com - GET /Nbiyure3
  • brotexxshferrogd[.]net - GET /af/jhg6fgh
  • datadunyasi[.]com - GET /jhg6fgh
  • dewatch[.]de - GET /jhg6fgh
  • electua[.]org - GET /jhg6fgh
  • essensworld[.]cz - GET /jhg6fgh
  • everstruct[.]com[.]au - GET /jhg6fgh
  • f1toh1[.]com - GET /jhg6fgh
  • herrossoidffr6644qa[.]top - GET /af/jhg6fgh
  • joesrv[.]com - GET /jhg6fgh
  • knowyourmarketing[.]com - GET /jhg6fgh
  • pattumalamatha[.]com - GET /jhg6fgh
  • primary-ls[.]ru - GET /jhg6fgh
  • tayangfood[.]com - GET /jhg6fgh
  • tipografia[.]by - GET /jhg6fgh
  • way2lab[.]com - GET /jhg6fg
  • better57toiuydof[.]net - GET /af/FsMflooY
  • david-faber[.]de - GET /FsMflooY
  • digital-helpdesk[.]com - GET /FsMflooY
  • dogplay[.]co[.]kr - GET /FsMflooY
  • ecoeventlogistics[.]com - GET /FsMflooY
  • elateplaza[.]com - GET /FsMflooY
  • minnessotaswordfishh[.]com - GET /af/FsMflooY
  • pcflame[.]com[.]au - GET /FsMflooY
  • tdtuusula[.]com - GET /FsMflooY
  • uslugitransportowe-warszawa[.]pl - GET /FsMflooY
  • billiginurlaub[.]com - GET /fgJds2U
  • david-faber[.]de - GET /fgJds2U
  • elateplaza[.]com - GET /fgJds2U
  • electron-trade[.]ru - GET /fgJds2U
  • fjjslyw[.]com - GET /fgJds2U
  • hr991[.]com - GET /fgJds2U
  • jinyuxuan[.]de - GET /fgJds2U
  • khaosoklake[.]com - GET /fgJds2U
  • minnessotaswordfishh[.]com - GET /af/fgJds2U
  • oliverkuo[.]com[.]au - GET /fgJds2U
  • pcflame[.]com[.]au - GET /fgJds2U
  • tdtuusula[.]com - GET /fgJds2U
  • williams-fitness[.]com - GET /fgJds2U
  • better57toiuydof[.]net - GET /af/TrfHn4
  • blackstoneconsultants[.]com - GET /TrfHn4
  • derossigroup[.]it - GET /TrfHn4
  • dianagaertner[.]com - GET /TrfHn4
  • hunter[.]cz - GET /TrfHn4
  • youtoolgrabeertorse[.]org - GET /af/TrfHn4
  • dsopro[.]com - GET /7rvmnb
  • fabriquekorea[.]com - GET /7rvmnb
  • katoconsulting[.]ro - GET /7rvmnb
  • newserniggrofg[.]net - GET /af/7rvmnb
  • praktikum-marketing[.]de - GET /7rvmnb
  • resevesssetornument[.]com - GET /af/7rvmnb
  • tasfirin-ustasi[.]net - GET /7rvmnb
  • theexcelconsultant[.]com - GET /7rvmnb
  • 10minutesto1[.]net - GET /jt7677g6
  • cafe-bg[.]com - GET /jt7677g6
  • community-gaming[.]de - GET /jt7677g6
  • cor-huizer[.]nl - GET /jt7677g6
  • essentialnulidtro[.]com/af - GET /jt7677g6
  • lcpinternational[.]fr - GET /jt7677g6
  • luxurious-ss[.]com - GET /jt7677g6
  • makh[.]ch - GET /jt7677g6
  • myinti[.]com - GET /jt7677g6
  • mymobimarketing[.]com - GET /jt7677g6
  • oneby1[.]jp - GET /jt7677g6
  • seoulhome[.]net - GET /jt7677g6
  • sextoygay[.]be - GET /jt7677g6
  • squidincdirect[.]com[.]au - GET /jt7677g6
  • studyonazar[.]com - GET /jt7677g6
  • supplementsandfitness[.]com - GET /jt7677g6
  • zechsal[.]pl - GET /jt7677g6
  • 16892[.]net - GET /984hvxd?[short string of characters]
  • 78tguyc876wwirglmltm[.]net - GET /af/984hvxd?[short string of characters]
  • aarontax[.]com - GET /984hvxd?[short string of characters]
  • abyzon[.]com - GET /984hvxd?[short string of characters]
  • careermag[.]in - GET /984hvxd?[short string of characters]
  • ciiltire[.]com - GET /984hvxd?[short string of characters]
  • cinema-strasbourg[.]com - GET /984hvxd?[short string of characters]
  • e67tfgc4uybfbnfmd[.]org - GET /af/984hvxd?[short string of characters]
  • makkahhaj[.]com - GET /984hvxd?[short string of characters]
  • mseconsultant[.]com - GET /984hvxd?[short string of characters]
  • oscarbenson[.]com - GET /984hvxd?[short string of characters]
  • qiyuner[.]com - GET /984hvxd?[short string of characters]
  • scjjh[.]cn - GET /984hvxd?[short string of characters]
  • sock[.]lt - GET /984hvxd?[short string of characters]
  • speedgrow[.]com - GET /984hvxd?[short string of characters]
  • yes2malaysia[.]com - GET /984hvxd?[short string of characters]
  • zabandan[.]com - GET /984hvxd?[short string of characters]
  • zebtex[.]com - GET /984hvxd?[short string of characters]

 

Jaffランサムウェアに感染し暗号化されたファイルの拡張子まとめ(2017/06/15更新)

  • 「.jaff」
  • 「.wlu」
  • 「.sVn

 

感染後にTorブラウザで接続する先のドメインまとめ(2017/05/26更新)

※Jaffランサムウェアに感染した後にビットコイン等の支払い方などを示したサイトのドメイン
※『.(ドット)』を[]で囲ってあります

rktazuzi7hbln7sy[.]onion

 

 

参考情報(2017/06/19更新)

http://malware-traffic-analysis.net/2017/06/13/index.html

http://malware-traffic-analysis.net/2017/06/06/index2.html

http://blog.talosintelligence.com/2017/05/threat-roundup-0519-0526.html

http://malware-traffic-analysis.net/2017/06/01/index2.html

https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446

http://malware-traffic-analysis.net/2017/05/11/index3.html

http://malware-traffic-analysis.net/2017/05/15/index.html

http://malware-traffic-analysis.net/2017/05/16/index.html

http://malware-traffic-analysis.net/2017/05/22/index.html

http://malware-traffic-analysis.net/2017/05/24/index2.html

http://malware-traffic-analysis.net/2017/05/25/index2.html

https://noransom.kaspersky.com/

https://www.nomoreransom.org/decryption-tools.html