最近ランサムウェア入りメールがそこそこ届いているが、中にはPDFに添付されたWordファイルを開けというタイプの物が出ている。
解析のためにPDF内の添付ファイルを抽出しようと思ったが、LinuxにあるEvinceなどではPDF内の添付ファイルが開けないので、pdftkというツールを使って抽出してみる。やり方は非常に簡単。
$ apt-get install pdftk $ pdftk anyfile.pdf unpack_files
カレントディレクトリに添付されているファイルが展開される。抽出されたファイル名はプロンプトには出てこないので注意。
ちなみに、添付されていたdocmファイルをここで解析した結果、Jaffと呼ばれる新種のランサムウェアだった模様(日本自動車連盟(JAF)とは一切関係なく、また大流行中のWannaCryの類ではない)。
blog.checkpoint.com