以下省略!

タイダルウ(ry 毎日1記事執筆運動実施中。

PDFに添付されているファイルをpdftkで抽出してみる

f:id:abyssluke:20170516160300p:plain
最近ランサムウェア入りメールがそこそこ届いているが、中にはPDFに添付されたWordファイルを開けというタイプの物が出ている。

解析のためにPDF内の添付ファイルを抽出しようと思ったが、LinuxにあるEvinceなどではPDF内の添付ファイルが開けないので、pdftkというツールを使って抽出してみる。やり方は非常に簡単。

$ apt-get install pdftk
$ pdftk anyfile.pdf unpack_files

カレントディレクトリに添付されているファイルが展開される。抽出されたファイル名はプロンプトには出てこないので注意。

ちなみに、添付されていたdocmファイルをここで解析した結果、Jaffと呼ばれる新種のランサムウェアだった模様(日本自動車連盟(JAF)とは一切関係なく、また大流行中のWannaCryの類ではない)。
blog.checkpoint.com

広告を非表示にする
実験中:よい子は次のアドレスにメールを絶対に送らないでください。場合によっては晒しあげされますよ。 ivyrush+htnb.20170313@rita-ch.com viande@rita-ch.com