キヤノンITソリューションズが運営する「マルウェア情報局」は28日、暗号化ランサムウェア「Locky」の挙動について紹介した。感染の流れを知ることで事前の対策に役立つとしている。

「Locky」感染の流れ(図:マルウェア情報局)

「Locky」は、感染したPC内のデータを暗号化し、身代金をビットコインで支払うよう要求するランサムウェア。Lockyの攻撃は、メールの添付ファイルから始まる。メールには、.docや.docm、.xlsといった拡張子のOfficeファイルが添付され、このファイルを開くと、Windows上の処理を自動化するBATファイルが作成される。このBATファイルは、ペイロードをダウンロードするVBファイルを作成。BATファイルとVBファイルが並走し、最終的にLockyがダウンロードされる流れとなる。

ESETでは、Officeファイルでマクロを使用する危険性があることを気に留めておく必要があるとして、注意を喚起している。