image

Sterke stijging van zip-bijlagen met ransomware

zondag 27 maart 2016, 07:02 door Redactie, 13 reacties

De afgelopen dagen is er een sterke stijging geweest van het e-mails die via besmette zip-bijlagen de Locky-ransomware proberen te verspreiden. De e-mails hebben onder andere als onderwerp "invoice notice", "attached image" en "attached document themes".

Volgens het bericht heeft de ontvanger bijvoorbeeld een bestelling geplaatst of een rekening niet betaald. Meer informatie zou in het meegestuurde zip-bestand zijn te vinden. Dit zip-bestand bevat weer een JavaScript-bestand dat de Locky-ransomware op de computer downloadt. De e-mails worden wereldwijd verspreid, waaronder ook in Nederland. Locky is een vrij nieuwe ransomware-variant, die net als andere ransomware bestanden voor losgeld versleutelt.

In het begin gebruikte de Locky-ransomware nog kwaadaardige macro's in Excel- en Word-bestanden om systemen te infecteren, maar is nu op JavaScript-bestanden overgestapt. Een mogelijke reden hiervoor is dat het eenvoudig is om het script te obfusceren en nieuwe varianten uit te rollen, en zo traditionele op signatures-gebaseerde virusscanners te omzeilen, aldus beveiligingsbedrijf FireEye. Uit cijfers van VirusTotal blijkt dat de ransomware slecht door anti-virussoftware wordt herkend. Recentelijk werd een Amerikaans ziekenhuis nog door de Locky-ransomware getroffen, waarop het ziekenhuisbestuur intern de noodtoestand afkondigde.

Reacties (13)
27-03-2016, 08:33 door karma4
Bron voor de statistieken?
Ik verwacht niet dat er ergens een meldpunt voor burgers voor dit soort issues is.

Het wordt:
- of als telemetry gegevens terugsgestuurd door malware detectie programma's.
Dat is in tegenspraak van het omzeilen van virusscanners.
- In de https://en.wikipedia.org/wiki/List_of_mail_server_software als telemetry gegeven vastgesteld (inhoud-attachmen onderwerp) en als telemetry gegeven doorgestuurd. Als onderdeel van spam-fight of security. Dan had het ook meteen verwijderd(?) kunnen worden.

Wie wil malware doorgestuurd hebben. Ook bij poststukken zijn er beperkingen dieren mogen niet al zou het passen. https://www.postnl.nl/Images/Algemene-voorwaarden-universele-postdienst_tcm10-9614.pdf
27-03-2016, 10:20 door Anoniem
@karma4

Ik heb zelf ook twee van die emails ontvangen.
In eerste instantie lijkt het op emails waarmee ze naar logingegevens zitten te vissen.
(vandaar ook gemeld aan valse emails)

Alle twee berichten hadden naar dropbox accounts.
Wat mij vooral opviel was dat de emails allebei zogenaamd van KPN afkwamen omdat het XS4ALL email account waren.

En o ja, op die dagen dat ik die emails ontving herkende verschillende professionele, betaalde virusscanners de uiteindelijke rommel niet. Allemaal pas min. 24 uur later.

Excuses voor m'n warrige reactie, maar ben net wakker en was lange nacht.
27-03-2016, 10:42 door Briolet
Ik heb er vorige week ook een binnen gekregen op een mail adres dat ik al 15 jaar niet meer gebruik.

De zip bevat twee files met JavaScript en een file met de naam 'bootmgr'. Gatekeeper op de mac laat het wel toe om de .js files te bekijken, maar laat niet toe dat de file 'bootmgr' met een simpele teksteditor geopend wordt.

Nu zie ik niet zo snel hoe dit je moet besmetten omdat weinig mensen software hebben liggen om JavaScript vanuit een file te runnen. Misschien dat 'bootmgr' dat moet doen, maar die wordt door Gatekeeper tegengehouden. Waarschijnlijk hebben ze dan nog die mensen nodig die de firewall aangepast hebben om executables uit alle bronnen te mogen runnen.
27-03-2016, 11:12 door Rolfieo
Ik zie ze ook veel meer binnen komen. Mijn google account staat er vol mee het is zeker een increase van dit type.
Helemaal nieuw is het niet, in 2015 begin het al. Maar momenteel wordt het massaal gebruikt. En het is gemakkelijk te misbruiken door eind gebruikers.

Maar tegenhouden is ook gemakkelijk gewoon *.js blockeren in de temp directory (en subdirectories) en het is tegen gehouden.
Of eventueel cscript / wscript blockeren om js files te openen in temp directories.
27-03-2016, 14:34 door Anoniem
Je hebt echt geen idee hoe makkelijk het is om tegenwordg een broncode te kopen van o.a. Hackforums.net en je cryptolocker te verspreiden. Elke leuter kan tegenwoordig met wat kennis een cryptolocker opzetten.
27-03-2016, 19:02 door Anoniem
Bron voor de statistieken? Ben je zo ongelovig dat je hier al moeite over gaat doen?
Anyway, ik merk het zelf ook.
Niet alleen krijg ik op mijn gebruikelijk spam-catchers zo'n 120 van deze mailtjes per dag per mailbox binnen, ze kosten me ook een hoop data van mijn servers, en daar ben ik minder blij mee.
CENTOS doet niet zoveel met java meuk namelijk.
27-03-2016, 21:04 door Anoniem
Je zou verwachten dat KPN en T-Mobile (waar erg veel van deze mails zogenaamd vandaan zouden komen, alsdus de crimineel die hun e-mail templates misbruikt) hier momenteel bovenop zitten.

Maar bij tmobile niet eens een abuse@t-mobile.tld adres te vinden.

Gelukkig maar dat de mails altijd binnenkomen op adressen die ik toch niet voor deze providers gebruik en het dus erg snel opvalt.
28-03-2016, 00:32 door Anoniem
Door Anoniem: Bron voor de statistieken? Ben je zo ongelovig dat je hier al moeite over gaat doen?
Anyway, ik merk het zelf ook.
Niet alleen krijg ik op mijn gebruikelijk spam-catchers zo'n 120 van deze mailtjes per dag per mailbox binnen, ze kosten me ook een hoop data van mijn servers, en daar ben ik minder blij mee.
CENTOS doet niet zoveel met java meuk namelijk.

Vent je weet niet waar je het over hebt, hele web draait JavaScript.
Gewoon netjes je 'CENTOS' configureren dat deze zip/js files reject.
28-03-2016, 08:48 door karma4
Door Anoniem: Bron voor de statistieken? Ben je zo ongelovig dat je hier al moeite over gaat doen?
..
CENTOS doet niet zoveel met java meuk namelijk.
Nee ik ben niet zo ongelovig, integendeel. Als het echt goed vastgesteld wordtm dan praat je over telemetry. Het is de positieve kant om software kwaliteit vast te stellen. Met [ur] https://logging.apache.org/ [/url] heb je een heel framework log4j is een veel gebruikte, ook met CENTOS omgevingen.
Spam catchers en Ad-blocker prima en mij best. Het is een snijvlak, daarmee zit je op de grens van de inhoud van berichten, Het is automatisch maar toch. Zet je het in de context van een cloudservice zit met een grote provider dan is het ineens zeer slecht dat het gebeurt. Nu doe je het zelf en dan klaag je alleen dat het je zoveel data kost.
Dat is niet consistent.

Door Anoniem:
Gelukkig maar dat de mails altijd binnenkomen op adressen die ik toch niet voor deze providers gebruik en het dus erg snel opvalt.
Doe ik ook. Het valt meteen op als een onderwerp/bericht op een verkeerd kanaal binnen komt en zelfs vaker.
28-03-2016, 20:09 door Ron625
Door Anoniem:
Vent je weet niet waar je het over hebt, hele web draait JavaScript.
Wel Java, maar niet Javascript, dat zijn toch echt verschillende dingen.
28-03-2016, 21:30 door Anoniem
Door Ron625:
Door Anoniem:
Vent je weet niet waar je het over hebt, hele web draait JavaScript.
Wel Java, maar niet Javascript, dat zijn toch echt verschillende dingen.
Huh? Ben je echt zo dom of doe je alsof??
Enig idee wat AJAX is? En hoeveel sites ervan gebruik maken? Facebook, Twitter, ... ??
29-03-2016, 21:12 door Ron625 - Bijgewerkt: 29-03-2016, 21:12
Door Anoniem:
Huh? Ben je echt zo dom of doe je alsof??
Enig idee wat AJAX is? En hoeveel sites ervan gebruik maken? Facebook, Twitter, ... ??
Ben je echt zo dom of doe je alsof??
Wanneer je de browser zo instelt, dat er geen scripts op je PC gestart kunnen worden, dan valt hooguit 1% door de mand.
Alle andere websites blijven gewoon bereikbaar, test het maar.........
Facebook heeft b.v. de optie noscript=1 en zo zijn er velen.
Lees ook eens de webrichtlijnen-Versie-2 en dan met name het stuk over exta's als Java e.d.
29-06-2016, 17:12 door Anoniem
Avast Free maakte melding na gescande emails

Js: LockyDownloader (trj)


EPSON0008247023


EPSON008247023.zip

bevatte ook ransomware,gelukkig niet geopend.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.