På www.C-cure.dk anvender vi cookies udelukkende til at give dig en god brugeroplevelse, når du udfylder formularer. Ved at klikke videre på dette site accepterer du samtidigt vores brug af cookies.

We use cookies in order to give you the best user experience, when filling out forms. By clicking on www.C-cure.dk you thereby accept our use of cookies.

Pakkepost svindel

1. december 2016

Den er gal igen,- der udsendes igen skadelige e-mails, hvor afsenderen påstår at være Post Nord og Post Danmark. Heri skrives der blandt andet, at ”du har uforløste pakken”, og man opfordres til at klikke på links, som fører til en hjemmeside med en skadelig fil, der potentielt kan inficere din computer med Cryptolocker ransomware, der forsøger at kryptere- og derefter slette udvalgte filer, såsom dokumenter, videoer og billeder. Dette sker på selve computeren og de netværksdrev, som er tilsluttet computeren. Malwaren kopierer kontakter fra modtagerens Outlook med henblik på at sprede de skadelige e-mails videre til modtagerens kontakter.

Hvordan kan du beskytte dig?

  • Klik ikke på ukendte links og filer i tilsendte e-mails.
  • Hvis du er i tvivl, så lad være med at gøre yderligere, før tvivlen er blevet be- eller afkræftet.
  • For dem af jer, der modtager mange e-mails, og derfor har behov for at kunne åbne disse, er det en god idé at holde maskinerne adskilt fra resten af netværket. Det kan du eventuelt kontrollere med software, som kan blokere ukendte processer og filer (kaldes ofte for ”applikation control”).
  • Hold dit spam-filter på din e-mail opdateret, såfremt dette anvendes.

Er uheldet alligevel ude?

For at genskabe dine filer er det nødvendigt at have en backup med versionsstyring. Versionering er nødvendig, da det tidligere er set, at ransomwaren også har inficeret backupsystemet.

Politiet anbefaler, at du ikke betaler gerningsmændene. I tilfælde af at virksomheden alligevel ønsker at betale eller allerede har betalt, har bitcoin-adressen, hvortil du har overført løsesummen, betydning for den videre efterforskning.

Sådan genkender du angrebet

Karakteristisk for dette angreb er, at man skal downloade en .JS (Javascript fil) fra det tilsendte link og derefter dobbeltklikke på filen for at aktivere malwaren.

Vi har tidligere ved disse angreb set, at denne aktivering er sket gennem browseren. Kildekoden til de hjemmesider, hvor malwaren distribueres, ”beder” browseren om at downloade .ZIP filen indeholdende .JS filen.

For de teknisk interesserede: Resultatet af malware-analysen

De vedhæftede filer (”p-PostNord_forsendelse.zip-PostNord_forsendelse_js_analyse_resultat.zip”; ”infected.zip-PostNord_forsendelse_js_analyse_resultat.zip” og ” infected.zip-form_qwe_analyse_resultat.zip”) indeholder analyse-resultater fra malware-analysen og IKKE malware samples.

Inde i .ZIP filerne findes følgende:

  • Analyse af hvad cryptolocker gør, og hvilke processer det forsøger at starte.
  • Hvilke netværksforbindelser den starter.
  • Filens signaturværdi (MD5, SHA, Sha256).
  • Det navn, som producenten har navngivet malwaren med.

Malwaren forsøger at kontakte følgende domæner, antageligvis med henblik på download af kontakt til C2 serveren (Command and Control serveren som kontrolleres af gerningsmændene):

  • _wtfismyip.com:6:80
  • _ipecho.net:6:80
  • _inuzukosiri.blogoveg.org:17:53
  • _ysyk.blogoveg.org:17:53
  • _iwexesg.blogoveg.org:6:443
  • _eninvju.blogoveg.org:6:443
  • _myexternalip.com:6:80
  • _128.31.0.39:6:9101
  • _208.83.223.34:6:80
  • _iwexesg.blogoveg.org:17:53

Malwaren forsøger også at kopiere kontakter fra modtagerens Outlook med henblik på at sprede de skadelige e-mails videre til dennes kontakter. Sideløbende med denne proces krypterer malwaren desuden filerne på computeren ved hjælp af Cryptolocker.   


Powered by wpsnet.com