Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nieuwe Locky "Receipt" campagne, nu met .wsf extensies

24-10-2016, 21:38 door SecGuru_OTX, 4 reacties
Voor de geïnteresseerde:

Er is weer een nieuwe Locky "Receipt xxx-xxx" campagne waargenomen, nu met de extensie .wsf

Bijgaand twee voorbeelden met hashes, C&C en C2 communicatie:

https://www.hybrid-analysis.com/sample/b10fdf044692011f6f627f3babf1f63ecc1a45b6d56d847d6a7b0267f67d89f1?environmentId=100

https://www.hybrid-analysis.com/sample/d8bbd5091053a2b9c68dda3ad3d31af3cca83b15270f3bf4a5448d56b07acc03?environmentId=100
Reacties (4)
24-10-2016, 21:40 door SecGuru_OTX
Daarnaast ook weer een nieuwe Locky "Complaint Letter" met .js extensie:

http://blog.dynamoo.com/2016/10/malware-spam-complaint-letter-leads-to.html
24-10-2016, 21:49 door SecGuru_OTX
Hier een collectie van IOC's van de tot nu nieuwe varianten van Locky "Receipt xxx-xxx" (.js .hta en .wsf)

http://pastebin.com/3QeK5Mn3
25-10-2016, 08:12 door Erik van Straten - Bijgewerkt: 25-10-2016, 08:17
Dank voor het melden!

24-10-2016, 21:40 door SecGuru_OTX: Daarnaast ook weer een nieuwe Locky "Complaint Letter" met .js extensie:

http://blog.dynamoo.com/2016/10/malware-spam-complaint-letter-leads-to.html
Die ontving ik zelf ook. Op dat moment:

Zip bijlage 13/56: https://www.virustotal.com/en/file/bd055d61e69d7a0a6355209005eeb7b7ac9b5e6eb4da13a276bff32b775fa17a/analysis/1477318631/

.js file daarin 10/54: https://www.virustotal.com/en/file/8d15b1e96791c1790a7cb86c4f3c48b01f5acdc80420f1c4352fed39180a91b7/analysis/1477320033/

Zojuist opnieuw aangeboden:

Zip bijlage 26/55: https://www.virustotal.com/en/file/bd055d61e69d7a0a6355209005eeb7b7ac9b5e6eb4da13a276bff32b775fa17a/analysis/1477376065/

.js file daarin 26/54: https://www.virustotal.com/en/file/8d15b1e96791c1790a7cb86c4f3c48b01f5acdc80420f1c4352fed39180a91b7/analysis/1477376167/
25-10-2016, 10:08 door Anoniem
Nieuwe Locky versie, met .shit als extensie mocht het tot een infectie komen.
http://www.bleepingcomputer.com/news/security/locky-ransomwares-new-shit-extension-shows-that-you-cant-polish-a-turd/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.