最近ランサムウェア入りメールがそこそこ届いているが、中にはPDFに添付されたWordファイルを開けというタイプの物が出ている。

解析のためにPDF内の添付ファイルを抽出しようと思ったが、LinuxにあるEvinceなどではPDF内の添付ファイルが開けないので、pdftkというツールを使って抽出してみる。やり方は非常に簡単。

$ apt-get install pdftk
$ pdftk anyfile.pdf unpack_files

カレントディレクトリに添付されているファイルが展開される。抽出されたファイル名はプロンプトには出てこないので注意。

ちなみに、添付されていたdocmファイルをここで解析した結果、Jaffと呼ばれる新種のランサムウェアだった模様(日本自動車連盟(JAF)とは一切関係なく、また大流行中のWannaCryの類ではない)。
blog.checkpoint.com