Door Erik van Straten: Van: Theo <achternaam> <theo.<redacted>@ziggo.nl>
Datum: dinsdag 26 januari 2016 14:24
Aan: <ontvanger>
Onderwerp: Schade vergoeden!
Goededag,
U bent tegen mijn auto aangereden, waardoor ik nu een paar lelijke krassen op mijn auto heb.
De buurvrouw heeft het zien gebeuren. Daarna bent u doorgereden.
De schade zal een paar honderd euro bedragen. Ik wil dat u dit gaat betalen, of ik haal de politie erbij.
Zie mijn schadeclaim
dropbox/nl-nl/user/theo.<achternaam>@ziggo.nl/downloads/SchadeformulierA26.doc/
met groet,
Theo <achternaam>
Nb. hierboven heb ik de achtenaam van de -schijnbare- afzender vervangen door <achternaam>, en de werkelijke ontvanger door <ontvanger>.
Onder de link zit de volgende URL: hxxp://gtafive.ml/zSDBe (http vervangen door hxxp)
Als je die opent, vindt een redirect plaats naar:
hxxp://pensionhouse.kr/House/data/theme/Schadeformulier_A2600011147.doc.zip
Bij download met firefox kreeg ik tot 4x toe een te korte file (afgebroken).
Met MSIE eerst ook, maar ik kon op "Resume" drukken waarna wel de volledige file werd gedownload.
Die zipfile bevat "Schadeformulier_A26000121792431147.doc.exe" met een Adobe Reader icoontje. Als het tonen van bestandsextensies uitstaat (default in Windows) ziet de gebruiker natuurlijk "Schadeformulier_A26000121792431147.doc". Het lijkt hierbij te gaan om CryptoWall ransomware.
Gisteren (2016-01-26 16:19:22 UTC) detecteerden 10 van 53 scanners hier malware in, zie
https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453825162/.
Zojuist (2016-01-27 11:25:05 UTC) waren dat er 28 / 54, zie
https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453893905/.
Voor de actuele status kun je klikken op
https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/.
Er zijn meer van dit soort malwareexemplaren in omloop, bijv. Schadeformulier_A26022448480757.doc.zip (30 / 54, zie
https://www.virustotal.com/en/file/1e71ba832dd3e69cb49ed400eac2cf85390a6e38f388ba6f74b7071d563b2f8d/analysis/1453885589/).
Voor de pensionhous.kr URL zie
https://www.virustotal.com/en/url/744f33de19960740d23a52080bebded02138015917e74f711368b902bbb5c564/analysis/ (momenteel 3 / 66).
P.S. ik post dit hier omdat ik via Google nog niets over dit type spam kon vinden, hierna kunnen anderen dat wel. Overigens vind ik deze spam wel heel agressief (met name door een bestaand persoon met naam en toenaam te benoemen, die hier hoogstwaarschijnlijk niets mee te maken heeft).
Door Erik van Straten: Dank voor alle reacties!
27-01-2016, 13:05 door fvandillen: Heb je een vermoeden dat dit massaal verstuurd is of meer een gerichte aanval op jou?
Bovenstaande mail kreeg ik doorgestuurd door iemand met een e-mail account op een school.
Inderdaad, als ik mijn zoektermen aanpas vind ik die ook (en deze security.nl pagina).
27-01-2016, 13:28 Door Briolet: Uit dit artikel maak ik op dat de oplichters heel gericht mensen uit een regio benaderen. Ze moeten dus een koppeling tussen e-mail adres en woonplaats hebben.
Zie mijn antwoord bovenaan deze bijdrage. Uit het e-mail adres van de ontvanger kun je eenvoudig het adres van de website van die school afleiden, waarop je natuurlijk ook het vestigingsadres kunt vinden.Het zou kunnen kloppen dat er per regio verzonden wordt, maar ik denk eerder aan e-mail adressen die op .nl eindigen.
27-01-2016, door Anoniem: Als iedere ontvanger na zou denken, komen ze met deze actie niet ver: [...]
Zeker, maar dit soort mails spelen in op de schrikreactie van de ontvanger. Als dat toevallig samenvalt met "nog even snel m'n mail checken voor ik naar bed/werk ga" neemt de slagingskans waarschijnlijk toe.
27-01-2016, 22:07 door Anoniem: [...]
Kunnen windowspapas voor het ontsleutelen van een en ander en benodigde bitcoins terecht bij ene erik omdat zoonlief zijn gepaste straatje met malwarelinkjes uitproberen?
Deze site kent lezers van jong tot oud, links naar cryptowall ransomare gaan lopen pasten is weinig verantwoordelijk gedrag.
Als zoonlief dat wil heeft hij zat eenvoudiger alternatieven. Als hij bijv. zijn e-mail adres op zijn Facebook pagina zet, krijgt hij de malware vanzelf aangeleverd en hoeft hij niet eens "hxxp" in "http" te wijzigen. Los van de manier waarop zoonlief aan malware weet te komen: als pa de PC (en eventuele server/NAS) goed heeft ingericht, worden uitsluitend bestanden van zoonlief versleuteld. Dat zal hem leren...
27-01-2016, 22:07 door Anoniem: De links naar deze rottige malware zijn helemaal niet nodig voor het punt van attentie dat je wilde maken.
Zelf ben ik al heel lang zo'n "zoonlief" die malware + het gedrag van virusscanners onderzoekt (het starten van malware weet ik -tot nu toe- te voorkomen). Met name als de kans groot is dat gebruikers in mijn omgeving met malware te maken kunnen krijgen, vind ik dit erg leerzaam. Aangezien dit iets is dat ik elke security professional aanraad (goed op de hoogte blijven), ben ik blij met elke link die gepost wordt. Aangezien ik niet alleen wil "leechen", post ik zelf ook dit soort informatie.
Door Erik van Straten: Dank voor alle reacties!
27-01-2016, 13:05 door fvandillen: Heb je een vermoeden dat dit massaal verstuurd is of meer een gerichte aanval op jou?
Bovenstaande mail kreeg ik doorgestuurd door iemand met een e-mail account op een school.
Inderdaad, als ik mijn zoektermen aanpas vind ik die ook (en deze security.nl pagina).
27-01-2016, 13:28 Door Briolet: Uit dit artikel maak ik op dat de oplichters heel gericht mensen uit een regio benaderen. Ze moeten dus een koppeling tussen e-mail adres en woonplaats hebben.
Zie mijn antwoord bovenaan deze bijdrage. Uit het e-mail adres van de ontvanger kun je eenvoudig het adres van de website van die school afleiden, waarop je natuurlijk ook het vestigingsadres kunt vinden.Het zou kunnen kloppen dat er per regio verzonden wordt, maar ik denk eerder aan e-mail adressen die op .nl eindigen.
27-01-2016, door Anoniem: Als iedere ontvanger na zou denken, komen ze met deze actie niet ver: [...]
Zeker, maar dit soort mails spelen in op de schrikreactie van de ontvanger. Als dat toevallig samenvalt met "nog even snel m'n mail checken voor ik naar bed/werk ga" neemt de slagingskans waarschijnlijk toe.
27-01-2016, 22:07 door Anoniem: [...]
Kunnen windowspapas voor het ontsleutelen van een en ander en benodigde bitcoins terecht bij ene erik omdat zoonlief zijn gepaste straatje met malwarelinkjes uitproberen?
Deze site kent lezers van jong tot oud, links naar cryptowall ransomare gaan lopen pasten is weinig verantwoordelijk gedrag.
Als zoonlief dat wil heeft hij zat eenvoudiger alternatieven. Als hij bijv. zijn e-mail adres op zijn Facebook pagina zet, krijgt hij de malware vanzelf aangeleverd en hoeft hij niet eens "hxxp" in "http" te wijzigen. Los van de manier waarop zoonlief aan malware weet te komen: als pa de PC (en eventuele server/NAS) goed heeft ingericht, worden uitsluitend bestanden van zoonlief versleuteld. Dat zal hem leren...
27-01-2016, 22:07 door Anoniem: De links naar deze rottige malware zijn helemaal niet nodig voor het punt van attentie dat je wilde maken.
Zelf ben ik al heel lang zo'n "zoonlief" die malware + het gedrag van virusscanners onderzoekt (het starten van malware weet ik -tot nu toe- te voorkomen). Met name als de kans groot is dat gebruikers in mijn omgeving met malware te maken kunnen krijgen, vind ik dit erg leerzaam. Aangezien dit iets is dat ik elke security professional aanraad (goed op de hoogte blijven), ben ik blij met elke link die gepost wordt. Aangezien ik niet alleen wil "leechen", post ik zelf ook dit soort informatie.
Door Erik van Straten: Van: Theo <achternaam> <theo.<redacted>@ziggo.nl>
Datum: dinsdag 26 januari 2016 14:24
Aan: <ontvanger>
Onderwerp: Schade vergoeden!
Goededag,
U bent tegen mijn auto aangereden, waardoor ik nu een paar lelijke krassen op mijn auto heb.
De buurvrouw heeft het zien gebeuren. Daarna bent u doorgereden.
De schade zal een paar honderd euro bedragen. Ik wil dat u dit gaat betalen, of ik haal de politie erbij.
Zie mijn schadeclaim
dropbox/nl-nl/user/theo.<achternaam>@ziggo.nl/downloads/SchadeformulierA26.doc/
met groet,
Theo <achternaam>
Nb. hierboven heb ik de achtenaam van de -schijnbare- afzender vervangen door <achternaam>, en de werkelijke ontvanger door <ontvanger>.
Onder de link zit de volgende URL: hxxp://gtafive.ml/zSDBe (http vervangen door hxxp)
Als je die opent, vindt een redirect plaats naar:
hxxp://pensionhouse.kr/House/data/theme/Schadeformulier_A2600011147.doc.zip
Bij download met firefox kreeg ik tot 4x toe een te korte file (afgebroken).
Met MSIE eerst ook, maar ik kon op "Resume" drukken waarna wel de volledige file werd gedownload.
Die zipfile bevat "Schadeformulier_A26000121792431147.doc.exe" met een Adobe Reader icoontje. Als het tonen van bestandsextensies uitstaat (default in Windows) ziet de gebruiker natuurlijk "Schadeformulier_A26000121792431147.doc". Het lijkt hierbij te gaan om CryptoWall ransomware.
Gisteren (2016-01-26 16:19:22 UTC) detecteerden 10 van 53 scanners hier malware in, zie
https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453825162/.
Zojuist (2016-01-27 11:25:05 UTC) waren dat er 28 / 54, zie
https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453893905/.
Voor de actuele status kun je klikken op
https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/.
Er zijn meer van dit soort malwareexemplaren in omloop, bijv. Schadeformulier_A26022448480757.doc.zip (30 / 54, zie
https://www.virustotal.com/en/file/1e71ba832dd3e69cb49ed400eac2cf85390a6e38f388ba6f74b7071d563b2f8d/analysis/1453885589/).
Voor de pensionhous.kr URL zie
https://www.virustotal.com/en/url/744f33de19960740d23a52080bebded02138015917e74f711368b902bbb5c564/analysis/ (momenteel 3 / 66).
P.S. ik post dit hier omdat ik via Google nog niets over dit type spam kon vinden, hierna kunnen anderen dat wel. Overigens vind ik deze spam wel heel agressief (met name door een bestaand persoon met naam en toenaam te benoemen, die hier hoogstwaarschijnlijk niets mee te maken heeft).
Dit is zeker aan te raden!