Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nieuwe Locky "Payment History xxxxxxPDF.VBS" campagne

28-10-2016, 14:59 door SecGuru_OTX, 5 reacties
Nieuwe Locky campagne, nu met subject "Payment History".

De ZIP e-mail bijlage bevat een VBS script.

Enkele voorbeelden van de VBS scripts, contacted IP's en DNS request:

https://www.hybrid-analysis.com/sample/f7b0965f51c1afffeb53d8e42da5c385cd9d3fcb84f916279748ee8ac50e610b?environmentId=100
https://www.hybrid-analysis.com/sample/fca8de3ffbcce08e390c0369c4cc2a991bf0aef3fbf00e757626a68c01ec43b0?environmentId=100
https://www.hybrid-analysis.com/sample/8501b76285083e96e0a3b0f312aaa8485117ef34454f2dfaa8cea5a61e5270d0?environmentId=100
Reacties (5)
28-10-2016, 20:36 door Anoniem
Mailtje komt veel binnen inderdaad, bevat de tekst en daarnaast het attachment.

--
The payment history for the firstweek of October 2016 is attached as you
requested.

Please review it and let us know if you have any question.
--

vergelijkbaar mailtje sinds paar minuten ook met titel 'Important - New fax received':

--
*Important document*: For internal use only

The documents are ready.
Check attached file for more information.

[THIS IS AN AUTOMATED MESSAGE - PLEASE DO NOT REPLY DIRECTLY TO THIS EMAIL]
(...)
--
28-10-2016, 21:46 door SecGuru_OTX
De run lijkt nu te zijn opgehouden, ik zie nu heel veel Locky SCAN, PRINT, DOC, IMG varianten voorbijkomen.

Allen met .wsf bestanden.

Meer info (hashes, IP's en URL's): https://otx.alienvault.com/pulse/5813a87aaa96ef65ef8c8e47/
28-10-2016, 22:05 door SecGuru_OTX - Bijgewerkt: 29-10-2016, 21:47
Onderstaand een post met alle IOC's. Het is overbodig om te melden dat je de url's in de pastebin post NIET moet openen, dit zijn daadwerkelijk besmette links. Om misbruik te voorkomen kun je alle IOC's blokkeren, NIET openen.

http://pastebin.com/wH3CkfAn
29-10-2016, 16:40 door Anoniem
Door SecGuru_OTX: http://pastebin.com/wH3CkfAn
Hee die guru, even een bericht vanaf een andere computer. Bedankt voor de pastebin download links! Ik heb direct het bestand "7fg3g" gedownload en met dubbelklik geopend. Wat nu?
29-10-2016, 21:23 door SecGuru_OTX
Door Anoniem:
Door SecGuru_OTX: http://pastebin.com/wH3CkfAn
Hee die guru, even een bericht vanaf een andere computer. Bedankt voor de pastebin download links! Ik heb direct het bestand "7fg3g" gedownload en met dubbelklik geopend. Wat nu?

Dan kun je mooi gaan spelen met Locky
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure