以前皆さんに知ってもらおうと、日本郵政を装ったメールが届いたお話しを記事にしたと思います。
先日そのファイルを開いてしまい、パソコンが使えなくなった方が来られました。
驚きの白さ!!
画面上に何も表示されない。
とりあえず、パソコン内部を見てみると・・・データは壊されていない模様
デスクトップが表示されず、システムは動いているので、悪さをしているやつを特定すれば・・・
と思いましたが、すごい強力なプログラムの様で、ウイルス対策ソフトを遮断、エクスプローラーの遮断、証明書サービスの遮断、等々、セキュリティー関係がすべて遮断されていました。
これでは何が何だか・・・
少し遠回りですが、何かのヒントになればと思い、以前から解析していたJavaScriptファイルの中身をさらに解析してみました。

偽装メールに添付されていた、JavaScriptファイル
まず全体を見たところ、なんのこっちゃ分からなかったのですが、「\u0074」??何か見たことあるなと思い

偽装メールに添付されていた、JavaScriptファイル
まずはそこの部分だけを取り除き

偽装メールに添付されていた、JavaScriptファイル
その他もろもろいらないところ、通常文字に別けて

偽装メールに添付されていた、JavaScriptファイル
Unicode-8に変換してみたところ、ヒット!!
これはメールソフトもびっくり、メールソフトは変換前の文字はそのまま読み取るようで、この様に変換作業は行われていないようです。
※Windows 10 標準搭載のディフェンダーではすでに対策れているので、Zipファイルすら開けられなくなっています。

偽装メールに添付されていた、JavaScriptファイル
少し整理をして、どのプログラムで書き込まれているか、特定・・・
まてよ・・・これ違うプログラムを呼び出しているぞ・・・

偽装メールに添付されていた、JavaScriptファイル
元の形に戻してみたところ、やはりこのJavaScriptファイルは特定のプログラムをインストール、実行までが書かれていました。
その先はダウンロードされたプログラムが悪さをしているようなので、追跡はここで断念・・・尻尾をつかんだと思ったのにな・・・
ちなみに仮想上のWindows 8で実行したところ、【C:\Windows\Temp】フォルダーにスクリーンセイバーが作られ、それから「exe」ファイルが作られ、勝手に再起動させられたところ
お亡くなりになりました。\(^o^)/
自動修復さえできない破壊っぷり 笑
これはもう少し情報がほしいですね・・・