Nepmail KPN bevat CTB-Locker-ransomware
Op dit moment worden er e-mails verstuurd die zogenaamd van KPN afkomstig lijken, maar in werkelijkheid ransomware verspreiden. Dat meldt anti-malwarebedrijf Malwarebytes. De e-mail stelt dat de ontvanger een factuur van enkele honderden euro's moet betalen.
Meer informatie zou via de meegestuurde link zijn te vinden. De link wijst echter naar een zip-bestand dat weer een bestand eindigend op .pdf.exe bevat. Doordat Windows standaard geen bestandsextensies toont kunnen gebruikers denken dat het om een pdf-document gaat. Zodra het bestand wordt geopend zal de CTB-Locker-ransomware allerlei bestanden op de computer voor losgeld versleutelen. Gebruikers krijgen 96 uur om het gevraagde losgeld te betalen, anders zullen ze volgens de melding van CTB-Locker hun bestanden verliezen.
Deze ransomware is vaker tegen Nederlandse internetgebruikers ingezet, onder andere via nepmails die van Wehkamp, Intrum Justitia en ook KPN afkomstig leken. "We kunnen je niet vaak genoeg voor deze trucs waarschuwen, aangezien ransomware een steeds grotere dreiging aan het worden is", zegt Pieter Arntz van Malwarebytes. Ook KPN waarschuwt inmiddels via Twitter voor de nepmails.
Reacties (22)
Onbegrijpelijk dat een groot bedrijf als kpn geen fatsoenlijk SPF record heeft aangemaakt voor kpn.com. Dat zou al heel veel van dit soort mails tegenhouden.
Laatst ook iemand gehad, die vergezeld werd van het CTB-Locker.
Alle foto's, documenten, Thunderbird mail, E-book foto's encrypted.
En klaar ben je.
Netjes een scherm op je bureaublad, dat je binnen 96 uur kan betalen.
Machine in savemode laten starten, alles uit de TEMP laten verwijderen (daar staat de .exe file). Machine weer laten herstarten.
De melding is dan weg op je scherm.
Back-up terug zetten van alle data. was de enige oplossing. Het de-crypten van deze bestanden is erg lastig.
Dus hier weer het nut van het hebben van een recente back-up!
Alle foto's, documenten, Thunderbird mail, E-book foto's encrypted.
En klaar ben je.
Netjes een scherm op je bureaublad, dat je binnen 96 uur kan betalen.
Machine in savemode laten starten, alles uit de TEMP laten verwijderen (daar staat de .exe file). Machine weer laten herstarten.
De melding is dan weg op je scherm.
Back-up terug zetten van alle data. was de enige oplossing. Het de-crypten van deze bestanden is erg lastig.
Dus hier weer het nut van het hebben van een recente back-up!
Van de zotte dat windows nog steeds geen extensies laat zien standaard. Niet alleen voorkom je dit soort besmettingen daarmee voor een deel maar je voedt je gebruikers ook op.
Hoe gemakkelijker het wordt om een computer te gebruiken, hoe slechter de kennis wordt over computers. Ga er nu eens van uit dat je gebruikers iets kunnen leren.
Hoe gemakkelijker het wordt om een computer te gebruiken, hoe slechter de kennis wordt over computers. Ga er nu eens van uit dat je gebruikers iets kunnen leren.
http://www.shadowexplorer.com/ is een goede tool om data terug te vinden. Al twee keer kunnen gebruiken met succes :)
Natuurlijk ook systeembeveiliging op alle volumes aanzetten, naast de backup naar offline disk.
Natuurlijk ook systeembeveiliging op alle volumes aanzetten, naast de backup naar offline disk.
Door Anoniem: Onbegrijpelijk dat een groot bedrijf als kpn geen fatsoenlijk SPF record heeft aangemaakt voor kpn.com. Dat zou al heel veel van dit soort mails tegenhouden.
Nog onbegrijpelijker; ze hebben wel een DMARC (none) record, maar zelfs de officiële factuur wordt zonder DKIM verstuurd.Door Anoniem: Van de zotte dat windows nog steeds geen extensies laat zien standaard.
Het is niet alleen Windows. Mac flikt het ook nog steeds. 3 weken terug een collega geholpen met het aanmaken van o.a diverse gebruikers op een nieuwe Mac (OSX 10.11) en ja hoor, nog steeds staat het verbergen van bestandsextensies in Findervoorkeuren standaard uitgevinkt.
Suggereren aan beide giganten het g.v.d. eens eindelijk aan te passen heeft totaal geen zin want zij luisteren alleen naar hun eigen veel te gezwollen ego!
10-05-2016, 15:22 door
Briolet
Door Aha: Het is niet alleen Windows. Mac flikt het ook nog steeds.
Ja, maar op een mac kun je een executabel die via mail binnenkomt niet zomaar starten. Dan krijg je eerst een flinke waarschuwing. Als je onder een user-account werkt moet je zelfs eerst een beheerders wachtwoord intikken om verder te kunnen.
Door Briolet:
Ja, maar op een mac kun je een executabel die via mail binnenkomt niet zomaar starten. ...knip... Als je onder een user-account werkt moet je zelfs eerst een beheerders wachtwoord intikken om verder te kunnen.
Door Aha: Het is niet alleen Windows. Mac flikt het ook nog steeds.
Ja, maar op een mac kun je een executabel die via mail binnenkomt niet zomaar starten. ...knip... Als je onder een user-account werkt moet je zelfs eerst een beheerders wachtwoord intikken om verder te kunnen.
Dat is waar, maar het standaard verborgen zijn van bestandsextensies wordt wereldwijd uitgebuit door malwaremakers. Daarom vind ik het beschamend voor beide multinationals dat ze deze 'uitnodigende kwetsbaarheid' - volgens mij tegen beter weten in - blijven negeren.
Door Anoniem: Onbegrijpelijk dat een groot bedrijf als kpn geen fatsoenlijk SPF record heeft aangemaakt voor kpn.com. Dat zou al heel veel van dit soort mails tegenhouden.
Ja heb ze vandaag dat ook even gemeld op abuse@kpn.com, sukkels daar
10-05-2016, 20:25 door
ScheleKeessie
Door Anoniem: Van de zotte dat windows nog steeds geen extensies laat zien standaard. Niet alleen voorkom je dit soort besmettingen daarmee voor een deel maar je voedt je gebruikers ook op.
Hoe gemakkelijker het wordt om een computer te gebruiken, hoe slechter de kennis wordt over computers. Ga er nu eens van uit dat je gebruikers iets kunnen leren.
Hoe gemakkelijker het wordt om een computer te gebruiken, hoe slechter de kennis wordt over computers. Ga er nu eens van uit dat je gebruikers iets kunnen leren.
Als je iets op het gebied van beheer deed wist je beter. Je hebt gewoon een categorie onnozele en/of careless gebruikers. Dit soort dingen krijg je er nooit 100% in en je hebt maar één onoplettende gebruiker nodig.
Vooralsnog werkt bij ons het blokkeren van onbekende executabels nog redelijk goed, naast een goede firewall met URL filtering redelijk strikt geconfigureerd. Daarnaast hebben we een aparte fileserver opgezet als "early warning" en als bezigheidstherapie (gewoon een paar miljoen loze bestanden op zetten met op enkele bestanden auditing ingeschakeld zodat je wordt gewaarschuwd.) Ook hebben we in AV een aantal regels opgenomen die ons waarschuwen bij ransomeware activiteit.
Dit soort technieken kun je feitelijk alleen goed opzetten in een goed controleerbare omgeving zoals een terminal server omgeving. Ik heb medelijden met de beheerders die BYOD hebben toegestaan.
Door Anoniem:
Ja heb ze vandaag dat ook even gemeld op abuse@kpn.com, sukkels daar
Door Anoniem: Onbegrijpelijk dat een groot bedrijf als kpn geen fatsoenlijk SPF record heeft aangemaakt voor kpn.com. Dat zou al heel veel van dit soort mails tegenhouden.
Ja heb ze vandaag dat ook even gemeld op abuse@kpn.com, sukkels daar
Hopelijk heb je toen ook even de termen DKIM en DMARC laten vallen, want met alleen een SPF record is niemand geholpen. Dat heeft immers alleen betrekking op de smtp envelope sender, en die krijgt niemand te zien... Verder treurig idd dat er nog steeds zoveel bedrijven, incl. banken e.d., zijn die dit soort elementaire dingen niet voor elkaar hebben terwijl ze voor hun communicatie wel vol leunen op e-mail.
ik krijg dit soort mails regelmatig in mijn inbox. Mails worden direct in een soort preview getoond wanneer deze geselecteerd zijn. Dus wanneer ik een besmette mail wil verwijderen wordt deze getoond op het moment dat ik deze selecteer. Is zo'n preview van een mail ook schadelijk of moet je daadwerkelijk op een link klikken in de mail voordat het virus op je computer komt?
Door Anoniem:
Hopelijk heb je toen ook even de termen DKIM en DMARC laten vallen, want met alleen een SPF record is niemand geholpen. Dat heeft immers alleen betrekking op de smtp envelope sender, en die krijgt niemand te zien... Verder treurig idd dat er nog steeds zoveel bedrijven, incl. banken e.d., zijn die dit soort elementaire dingen niet voor elkaar hebben terwijl ze voor hun communicatie wel vol leunen op e-mail.
Door Anoniem:
Ja heb ze vandaag dat ook even gemeld op abuse@kpn.com, sukkels daar
Door Anoniem: Onbegrijpelijk dat een groot bedrijf als kpn geen fatsoenlijk SPF record heeft aangemaakt voor kpn.com. Dat zou al heel veel van dit soort mails tegenhouden.
Ja heb ze vandaag dat ook even gemeld op abuse@kpn.com, sukkels daar
Hopelijk heb je toen ook even de termen DKIM en DMARC laten vallen, want met alleen een SPF record is niemand geholpen. Dat heeft immers alleen betrekking op de smtp envelope sender, en die krijgt niemand te zien... Verder treurig idd dat er nog steeds zoveel bedrijven, incl. banken e.d., zijn die dit soort elementaire dingen niet voor elkaar hebben terwijl ze voor hun communicatie wel vol leunen op e-mail.
Wat er gemakshalve even vergeten wordt is dat het erg lastig is "even" DMARC uit te rollen in een grote, complexe, organisatie met veel mailstromen. Het feit dat ze een DMARC policy van none publiceren lijkt een duidelijke indicatie dat er getest wordt, gezien dit een goeie manier is om mailstromen in kaart te brengen en eventuele onbekende stromen te vinden.
Simpelweg de knop even omzetten betekend enkel dat er helemaal geen mail meer aankomt.
Door Briolet:
Ja, maar op een mac kun je een executabel die via mail binnenkomt niet zomaar starten. Dan krijg je eerst een flinke waarschuwing. Als je onder een user-account werkt moet je zelfs eerst een beheerders wachtwoord intikken om verder te kunnen.
Door Aha: Het is niet alleen Windows. Mac flikt het ook nog steeds.
Ja, maar op een mac kun je een executabel die via mail binnenkomt niet zomaar starten. Dan krijg je eerst een flinke waarschuwing. Als je onder een user-account werkt moet je zelfs eerst een beheerders wachtwoord intikken om verder te kunnen.
Als je op Windows verstandig werkt, lukt het ook niet. Maar iedereen heeft meestal maar 1 account, dat dan ook nog eens admin is. Ik adviseer altijd 2 accounts en wanneer om het admin wachtwoord wordt gevraagd, dat ze dan eerst moeten nadenken of ze wel iets aan het installeren zijn. Dat zou ook een goed spotje voor op tv zijn, om de veiligheid te verbeteren.
Door Anoniem: ik krijg dit soort mails regelmatig in mijn inbox. Mails worden direct in een soort preview getoond wanneer deze geselecteerd zijn. Dus wanneer ik een besmette mail wil verwijderen wordt deze getoond op het moment dat ik deze selecteer. Is zo'n preview van een mail ook schadelijk of moet je daadwerkelijk op een link klikken in de mail voordat het virus op je computer komt?
Een preview is niet schadelijk, de bijlage wel. Open dus nooit zomaar een bijlage die je niet 100% vertrouwd.SPF en DKIM werken natuurlijk ook alleen wanneer de mails daadwerkelijk worden verstuurd vanuit @kpn.com. Wanneer ze worden gestuurd vanuit info@kpn.com <info@knp.com> dan kan KPN SPFen wat hij wil, die mail komt gewoon aan. En hoeveel mensen die de phishing-mail in eerste instantie geloven, zouden daadwerkelijk argwaan krijgen doordat het adres niet klopt? Lang niet iedereen.
Net zoals je het kunt gaan 'verplichten' om extensies te tonen, gaat mijn tante dan ineens wel snappen dat ze invoice.exe niet moet openen en invoice.pdf wel, terwijl het icoontje hetzelfde is? Ook dat effect is maar beperkt.
Ergo, op het oog 'simpele' en 'logische' oplossingen zullen nooit het probleem helemaal oplossen. Mensen blijven opvoeden zal altijd nodig blijven, elke oplossing zal een beetje helpen maar de mens zal de zwakste schakel blijven.
Net zoals je het kunt gaan 'verplichten' om extensies te tonen, gaat mijn tante dan ineens wel snappen dat ze invoice.exe niet moet openen en invoice.pdf wel, terwijl het icoontje hetzelfde is? Ook dat effect is maar beperkt.
Ergo, op het oog 'simpele' en 'logische' oplossingen zullen nooit het probleem helemaal oplossen. Mensen blijven opvoeden zal altijd nodig blijven, elke oplossing zal een beetje helpen maar de mens zal de zwakste schakel blijven.
De mailtjes komen in dit geval gewoon van kpn.com zie ik in onze mailfilters. Ik begrijp dat ook dat makkelijk te omzeilen is, maar ze komen niet van knp.com of kpnn.com, ze komen gewoon van kpn.com,
Een spf record met daarin de mail servers van kpn lijkt me niet zo heel moeilijk te regelen. Je moet er iig voor zorgen dat je er alles aan doet om zoiets te voorkomen. En ik begrijp dat dat nooit voor 100% te voorkomen is, maar doet iig je best.
Een spf record met daarin de mail servers van kpn lijkt me niet zo heel moeilijk te regelen. Je moet er iig voor zorgen dat je er alles aan doet om zoiets te voorkomen. En ik begrijp dat dat nooit voor 100% te voorkomen is, maar doet iig je best.
Opletten trouwens : deze mail wordt ook verstuurd zonder bijlage maar met een linkje om de "factuur" te downloaden vanaf een gehackte website. Daar doen je dus qua e-mail scanning niks aan. Dan mag je hopen dat je lokale virusscanner het afvangt.
Ik snap niet dat hier zoveel op deze aanbieders gescholden wordt, je zou kwaad moeten zijn op het tuig dat het leuk vind om dit te maken en te versturen. Een spf record gaat je niet echt helpen, DKIM ook niet.
Het enige wat goed helpt is een laatste generatie firewall, en aan aantal verschillende spam / antivirus mechanismen. Hier gaan de mails door 6 verschillende engines voordat de mail afgeleverd wordt...
Het enige wat goed helpt is een laatste generatie firewall, en aan aantal verschillende spam / antivirus mechanismen. Hier gaan de mails door 6 verschillende engines voordat de mail afgeleverd wordt...
18-05-2016, 21:44 door
Paulus Arnoldus
Net ook de mail ontvangen en op de link geklikt waar de factuur staat. Natuurlijk stom, maar de mail ziet er op het eerste gezicht heel echt uit, en je drukt vanwege het hoge bedrag dat je zou moeten betalen uit verontwaardiging, zo van: dit kan niet !
Na het klikken kreeg ik een inlogscherm van Hub Push. Mij niet bekend, maar dat is ook het adres van alle links in de mail: http://my.hubpush.com/kpn?988. Uiteraard toen meteen afgesloten, maar is het kwaad dan al geschied ? Is het bekend wat je dan krijgt en hoe je dat kunt oplossen ?
Na het klikken kreeg ik een inlogscherm van Hub Push. Mij niet bekend, maar dat is ook het adres van alle links in de mail: http://my.hubpush.com/kpn?988. Uiteraard toen meteen afgesloten, maar is het kwaad dan al geschied ? Is het bekend wat je dan krijgt en hoe je dat kunt oplossen ?
19-05-2016, 11:33 door
wallum
Door Paulus Arnoldus: Net ook de mail ontvangen en op de link geklikt waar de factuur staat. Natuurlijk stom, maar de mail ziet er op het eerste gezicht heel echt uit, en je drukt vanwege het hoge bedrag dat je zou moeten betalen uit verontwaardiging, zo van: dit kan niet !
Na het klikken kreeg ik een inlogscherm van Hub Push. Mij niet bekend, maar dat is ook het adres van alle links in de mail: http://my.hubpush.com/kpn?988. Uiteraard toen meteen afgesloten, maar is het kwaad dan al geschied ? Is het bekend wat je dan krijgt en hoe je dat kunt oplossen ?
Na het klikken kreeg ik een inlogscherm van Hub Push. Mij niet bekend, maar dat is ook het adres van alle links in de mail: http://my.hubpush.com/kpn?988. Uiteraard toen meteen afgesloten, maar is het kwaad dan al geschied ? Is het bekend wat je dan krijgt en hoe je dat kunt oplossen ?
Wij hebben deze mail ook ontvangen. Sinds kort wordt er geen bijlage meer meegestuurd (die zou zijn tegengehouden door spamfilter), maar een link (in ons geval naar http://www.hgdc.gob.ec/kpn?DownloadenFactuur?670).
Link getest (met NoScript aan): deze geeft direct een dialoogvenster bestand openen/opslaan. Bestand is een .ZIP met daarin een pdf.exe. Virustotal zegt daarover:
https://virustotal.com/nl/file/7dc58d0e5d2bc5271dab8c16cceb76161d2e9d052bdc64db7df1efc76a9d25a5/analysis/1463582174/
In ons geval dus geen inlogvenster (mogelijk geblokkeerd door NoScript). In jouw geval werkte het mogelijk anders; als de website misbruik maakt van beveiligingslek in Flash oid en je software was niet up to date kan je al besmet zijn.
Weer een nieuwe stap dus, hoe valt deze tegen te houden? (whitelisting/applocker was tot nu toe geen optie).
Wat een stel betweters hier af en toe
Op KPN vloeken????? Wat heeft KPN hier mee te maken? Die verstuurt die mails/virussen niet.
lET OP: Ook niet-KPN klanten krijgen deze mail random toegezonden. Wat doen mensen dan? "Ik ben geen klant van KPN" "wat is dat voor een factuur?" KLIK op de bijlage: B I N G O !!!!!
Ik ken iemand die 2 waarschuwingen van zijn virusscanner bewust negeerde en klikte op "Toch uitvoeren" Het ging immers toch om om KPN?; Dat moet goed zijn :-(
Extensies: de meeste gebruikers weten niet eens wat een extensie is en letten daar echt NOOIT op en al zouden ze zien staat "Factuur123.pdf.exe" zullen ze er zonder meer op klikken. Ze hebben geen idee waar wat het betekent.
Op KPN vloeken????? Wat heeft KPN hier mee te maken? Die verstuurt die mails/virussen niet.
lET OP: Ook niet-KPN klanten krijgen deze mail random toegezonden. Wat doen mensen dan? "Ik ben geen klant van KPN" "wat is dat voor een factuur?" KLIK op de bijlage: B I N G O !!!!!
Ik ken iemand die 2 waarschuwingen van zijn virusscanner bewust negeerde en klikte op "Toch uitvoeren" Het ging immers toch om om KPN?; Dat moet goed zijn :-(
Extensies: de meeste gebruikers weten niet eens wat een extensie is en letten daar echt NOOIT op en al zouden ze zien staat "Factuur123.pdf.exe" zullen ze er zonder meer op klikken. Ze hebben geen idee waar wat het betekent.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
