image

E-mail over mislukte afleverpoging verspreidt ransomware

zondag 10 juli 2016, 10:36 door Redactie, 10 reacties

Een Nederlandstalige e-mail die op dit moment wordt verstuurd en stelt dat er een pakket niet kon worden afgeleverd bevat in werkelijkheid ransomware. Dat meldt een onderzoeker van de University of Alabama. De e-mail heeft als onderwerp "Mislukte afleverpoging BT-32084".

Het bericht is zogenaamd van een transportbedrijf afkomstig en laat de ontvanger weten dat er een pakket niet kon worden afgeleverd. Via een link in de e-mail kan er een document worden gedownload om een nieuwe afspraak te maken. Het gaat om een Word-document met een kwaadaardige macro. Macro's staan vanwege veiligheidsredenen standaard in Microsoft Office uitgeschakeld. Het document stelt in zowel het Engels als Nederlands dat de inhoud op een oudere versie van Microsoft Word is gemaakt en de gebruiker macro's moet inschakelen om de inhoud weer te geven.

In werkelijkheid downloaden de macro's ransomware op de computer die bestanden voor losgeld versleutelt. Het gaat om de WildFire Locker-ransomware die 299 dollar voor het ontsleutelen van bestanden vraagt. Op het forum van Security.nl is inmiddels ook een uitgebreid topic over deze e-mails en ransomware. Daaruit blijkt dat veel mensen het bericht hebben ontvangen. Voor zover bekend is het nog niet mogelijk om de door WildFire versleutelde bestanden kosteloos te ontsleutelen.

Image

Reacties (10)
10-07-2016, 17:05 door Anoniem
Wat een taalkunstenaar deze Nederlands Poolse Tony Montana de Scarface*

http://www.bleepstatic.com/images/news/ransomware/w/wildfire-locker/CmH8j5xWAAAR9AG%5B1%5D.jpg
You have until woensdag 6 juli 2016 UTC before the price increases to $/€ 999

* https://www.security.nl/posting/477256#posting477298
10-07-2016, 17:35 door Anoniem
Kan iemand aangeven wat voor extensie gebruikt wordt (met dt), doc, docx, docm/
Bedankt.
10-07-2016, 19:25 door Matthias Huisman
Door Anoniem: Wat een taalkunstenaar deze Nederlands Poolse Tony Montana de Scarface*

http://www.bleepstatic.com/images/news/ransomware/w/wildfire-locker/CmH8j5xWAAAR9AG%5B1%5D.jpg
You have until woensdag 6 juli 2016 UTC before the price increases to $/€ 999

* https://www.security.nl/posting/477256#posting477298

Mwoah, ik denk dat het Nederlandse deel door de Nederlandse taalinstellingen zal komen en dit een variabele is (Powershell get-time retourneert het precies zo).
10-07-2016, 22:50 door Anoniem
Door Anoniem: Kan iemand aangeven wat voor extensie gebruikt wordt (met dt), doc, docx, docm/
Bedankt.

.docm
11-07-2016, 11:40 door Anoniem
.doc
12-07-2016, 01:23 door Ilja. _V V
Door Anoniem:
Door Anoniem: Kan iemand aangeven wat voor extensie gebruikt wordt (met dt), doc, docx, docm/
Bedankt.

.docm

In dit geval inderdaad .docm, Microsoft Word Document met Macro's.

Probleem is echter dat als Windows in de standaardinstelling staat, de extensie word weggelaten, & vervangen word door alleen de indicatie Microsoft Word Document.
12-07-2016, 12:32 door Anoniem
Door Ilja. _V V:
Door Anoniem:
Door Anoniem: Kan iemand aangeven wat voor extensie gebruikt wordt (met dt), doc, docx, docm/
Bedankt.

.docm

In dit geval inderdaad .docm, Microsoft Word Document met Macro's.

Probleem is echter dat als Windows in de standaardinstelling staat, de extensie word weggelaten, & vervangen word door alleen de indicatie Microsoft Word Document.

Wij zijn al zover gegaan om alle docm bestanden tegen te houden door het gebruikte spamfilter.
Standaard instelling van Windows gebruik ik een login script voor die een registeraanpassing doet.
12-07-2016, 16:18 door Erik van Straten
12-07-2016, 01:23 door Ilja. _V V:
Door Anoniem:
Door Anoniem: Kan iemand aangeven wat voor extensie gebruikt wordt (met dt), doc, docx, docm/
Bedankt.

.docm

In dit geval inderdaad .docm, Microsoft Word Document met Macro's.
De link die ik gespamd kreeg was toch echt hxxp://bestanden.transportbedrijfbuitink.nl/BT-32084.doc (link is nu dood).

De extensie is echter misleidend, want het gaat om een docm formaat bestand. De cybercriminelen maken handig gebruik van het feit dat MS Word .doc files gewoon opent ook als het feitelijk om een ander formaat gaat, zelfs als daar macro's in zitten. Daarbij was een waarschuwing op z'n plaats geweest, zoals:
U opent een Word bestand, met daarin macro's, bestemd voor Office 2007 en later terwijl het bestand .doc als extensie heeft. Bestanden met macro's vormen een risico voor uw computer. Weet u zeker dat u verder wilt gaan?
Maar ja, Microsoft hè.

De aanvalswijze in het document zelf is overigens uitgebreid beschreven in https://isc.sans.edu/forums/diary/Hiding+in+White+Text+Word+Documents+with+Embedded+Payloads/21227/.

12-07-2016, 12:32 door Anoniem: Wij zijn al zover gegaan om alle docm bestanden tegen te houden door het gebruikte spamfilter.
Dat levert vast blije gebruikers op (not). Temeer omdat het in dit geval om spam met een URL er in gaat (die jouw spamfilter vast niet tegenhoudt), en als er sprake is van spam met malware bijlage, ik de laatste tijd uitsluitend gecomprimeerde bestanden ontvang (voornamelijk .zip).

Ca. 2 uur geleden nog eentje, zogenaamd met Excel bijlage maar feitelijk een .zip file met daarin een .js file. Zie https://www.virustotal.com/en/file/9846a455784c6ace28791bca8abd29c029f27bf158001fda46c6ef9debc45b67/analysis/1468332112/ (4/50).
14-07-2016, 07:13 door Anoniem
Tsja... Word is voor mij iets uit de vorige eeuw. Zal er hier wel niet zoveel last van hebben...
25-10-2016, 14:01 door Anoniem
Is er al een oplossing voor dit probleem?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.