2019年始より日本をターゲットに行われているランサムウェアGandCrabのばらまきメールが発生しました。
単純な作りであり、たいていのスパムメールフィルタで止まっているものと思われます。
ただ、非常に大量に継続的に実行しており、1日半以上たった現時点でも継続してばらまきメールが配信されています。配信は Phorpiex スパムボットが行っています。

■日時
2019/02/25 9:30～

■件名
日本の芸能人の名前など、全部で140種類くらいあります。
以下が参考になります。

Based on received GandCrab mail data from 25th 09:23AM to 26th 10:23AM (over 24H! and ongoing!), we got 78,701 mails and 140 subjects from 13,048IPs. IPs are maybe infected "Phorpiex". pic.twitter.com/Ak963tXByB

— moto_sato (@58_158_177_102) February 26, 2019

■本文
;)

■添付ファイル
PICnnnnnnnn-JPG.zip / PICnnnnnnnn-JPG.js
※nnnnnnnnは数字7-9桁

■添付ファイルサンプル
https://app.any.run/tasks/92bfde8d-f182-4375-80f7-2f9477a2c11a
https://app.any.run/tasks/d49ed4bf-2a87-4a33-9bcb-db757ff543a0

※同一のURLでも時間帯により別のハッシュのマルウェアが置かれています。

■通信先
hxxp://92.63.197[.]153/test.exe
hxxp://92.63.197[.]153/krabaldento.exe

hxxp://92.63.197[.]153/1.exe
hxxp://92.63.197[.]153/2.exe
hxxp://92.63.197[.]153/4.exe
hxxp://92.63.197[.]153/spm/1.exe
hxxp://92.63.197[.]153/spm/2.exe
hxxp://92.63.197[.]153/spm/3.exe 

当初置かれていたtest.exeは #GandCrab v5.2でした。
その後、過去と同様に、ダウンローダ型のマルウェアに置き換えられ、1.exe - 4.exeを取得する動作を行うものになりました。

添付ファイルの通信先が変化し、krabaldento.exeに変わってからは、/spm/1.exe- 3.exeを取得するようになりまました。

どちらでも、以下が配置されています。
・1.exe  -  GandCrab v5.2 ランサムウェア
・2.exe  -  Phorpiex スパムボット
・3.exe/4.exe - CoinMiner

数が多いため、サンプルは以下を参照としてください。

urlhaus.abuse.ch

なお、これまでのGandCrabの情報については、以下が参考となります。

blog.trendmicro.co.jp

sec-owl.hatenablog.com

以上です。