マカフィーは8月3日、同社の公式ブログで、JavaScriptとPHPを活用したランサムウェア「Nemucod」の亜種が登場したとして、その仕組みを紹介した。
Nemucodは、この数カ月で一気に蔓延しているが、検出を免れるために配信メカニズムと感染媒体を頻繁に変更する特徴を備えているため、セキュリティ研究者にとって対処は非常に困難になっているという。
インテル セキュリティは最近、実環境で、他のファイルとともにPHPファイルをダウンロードし、これらのペイロード全体を使用して犠牲者のマシンを暗号化するNemucodの亜種を発見した。
このマルウェアの感染メカニズムは以前のバージョンと同じで、犠牲者のマシンには、スパム電子メールのZIP添付ファイルによって届けられる。
スパムメールの内容は、犠牲者をだますためにソーシャルエンジニアリングを活用して妙に作り上げられており、ZIPファイル内のJavaScriptは高度に難読化されているため、一見したところでは理解するのが非常に困難とのことだ。
このランサムウェアは、ファイルのリストアのために0.37070ビットコインの支払いを要求しており、支払いを済ませないと復号化用のリンクを有効化できないという。
インテル セキュリティはユーザーに対して、マルウェア対策用のシグネチャを常に最新の状態にしておくよう、注意喚起を行っている。
なお、インテル セキュリティ製品は、DATバージョン8199以降で、この悪質なJavaScriptとペイロードをそれぞれJS/Nemucod、PHP/Ransom.a、Trojan-FIWO!として検出する。