以前皆さんに知ってもらおうと、日本郵政を装ったメールが届いたお話しを記事にしたと思います。
先日そのファイルを開いてしまい、パソコンが使えなくなった方が来られました。

驚きの白さ！！
画面上に何も表示されない。
とりあえず、パソコン内部を見てみると・・・データは壊されていない模様
デスクトップが表示されず、システムは動いているので、悪さをしているやつを特定すれば・・・

と思いましたが、すごい強力なプログラムの様で、ウイルス対策ソフトを遮断、エクスプローラーの遮断、証明書サービスの遮断、等々、セキュリティー関係がすべて遮断されていました。
これでは何が何だか・・・

少し遠回りですが、何かのヒントになればと思い、以前から解析していたJavaScriptファイルの中身をさらに解析してみました。

偽装メールに添付されていた、JavaScriptファイル

まず全体を見たところ、なんのこっちゃ分からなかったのですが、「\u0074」？？何か見たことあるなと思い

偽装メールに添付されていた、JavaScriptファイル

まずはそこの部分だけを取り除き

偽装メールに添付されていた、JavaScriptファイル

その他もろもろいらないところ、通常文字に別けて

偽装メールに添付されていた、JavaScriptファイル

Unicode-8に変換してみたところ、ヒット！！
これはメールソフトもびっくり、メールソフトは変換前の文字はそのまま読み取るようで、この様に変換作業は行われていないようです。
※Windows 10 標準搭載のディフェンダーではすでに対策れているので、Zipファイルすら開けられなくなっています。

偽装メールに添付されていた、JavaScriptファイル

少し整理をして、どのプログラムで書き込まれているか、特定・・・
まてよ・・・これ違うプログラムを呼び出しているぞ・・・

偽装メールに添付されていた、JavaScriptファイル

元の形に戻してみたところ、やはりこのJavaScriptファイルは特定のプログラムをインストール、実行までが書かれていました。
その先はダウンロードされたプログラムが悪さをしているようなので、追跡はここで断念・・・尻尾をつかんだと思ったのにな・・・

ちなみに仮想上のWindows 8で実行したところ、【C:\Windows\Temp】フォルダーにスクリーンセイバーが作られ、それから「exe」ファイルが作られ、勝手に再起動させられたところ

お亡くなりになりました。＼(^o^)／

自動修復さえできない破壊っぷり　笑
これはもう少し情報がほしいですね・・・