Kijk uit voor ransomware LOCKY

Open geen verdachte Word of Excel bestanden.

Een trojan met de naam ‘Locky’ verspreidt zich sinds de afgelopen dagen via Word- en Excel-bestanden met een kwaadaardige macro. De bestanden worden verspreid via e-mail. Over het algemeen betreft het een melding van een openstaande rekening.

Na het openen van het geïnfecteerde bestand vraagt de malware de gebruiker om macro’s in te schakelen. Over het algemeen staat het uitvoeren van macro’s standaard uit. Als de macro’s ingeschakeld zijn, begint de download van de ransomware. Daarna versleutelt Locky bestanden en verandert het bestandsnamen. Naast bestanden op de lokale computer, zoekt de ransomware ook naar bestanden op netwerkstations, ook als deze niet gekoppeld zijn. Om de sleutel te krijgen tot de versleutelde bestanden, worden mensen gesommeerd een halve bitcoin te betalen.

Op deze manier zijn al bestanden bij verschillende organisaties binnen hele netwerken versleuteld. Er heeft zich onder andere een infectie voorgedaan bij het Fraunhofer-Institut in Duitsland, waar ongeveer zestig pc’s in het netwerk zijn platgelegd. Ook werd het West-Australische parlement platgelegd door de ransomware.

Het probleem met Locky zit volgens beveiligingsonderzoeker Kevin Beaumont niet alleen in het feit dat het vrij lang duurde voordat de meeste virusscanners de trojan detecteerden, maar ook dat het snel van signatuur verandert. Zo schrijft hij vrijdag op Twitter dat het mechanisme is veranderd. De .js-file wordt op dit moment nog door geen enkele virusscanner gedetecteerd.

De ransomware verscheen maandag, wat volgens Beaumont feitelijk de bètatest was. Locky is vertaald in veel verschillende talen, wat laat zien dat de aanval van te voren goed uitgedacht is. Tweaker fvdberg doet in een tweakblog uit de doeken welke registeraanpassingen de ransomware allemaal doet. Er zijn ook Nederlandse bedrijven al slachtoffer geworden, zo is te lezen op het aan de ransomware gewijde topic op GoT. Er zijn relatief veel infecties in Duitsland en Nederland.

 

http://tweakers.net/nieuws/108467/ransomware-locky-maakt-slachtoffers-in-duitsland-en-nederland.html?platform=hootsuite

Please follow and like us:

Pas op: Spaanstalige mail met een Purchase Order blijkt malware

Afgelopen nacht ontvingen wij op onze systemen de volgende malafide e-mail. Gezien het feit dat wij best een aantal groothandelsbedrijven in ons bestand hebben willen wij hen dan ook attenderen op het feit dat deze e-mail schadelijk kan zijn aan de systemen.

En hoe graag men ook een purchase order ontvangt: wees altijd op je hoede! Ken je de persoon of organisatie niet? Kloppen de linkjes die in de e-mail staan niet met de verzendende partij? Is er enige spoor van twijfel? Klik het mailtje weg, verwijder hem en op naar de volgende.

De mail in kwestie:

Dear all,

Please review the attached Revised  Purchase Order. Feel free to contact us if you have any questions.

Please confirm receiving this Email.  Best Regards.

Thank you for your service.

Best regards/Saudações

Fernando José Cunico
Office phone: +55 (47) 3276-6167- Fax: +55 (47) 3276-4060
WEG Equipamentos Elétricos S/A – International Division
www.weg.net

Attachments (links will expire on 08/31/2016):

  1. PO#23457_pdf.7z (102 KB) [application/x-7z-compressed]
    Download link: http://webmail.mediquip.com.bo/…/…id=56c0f405-c5e8-475e-8544-36224ad04ec...

Het moge duidelijk zijn dat deze e-mail malafide is en dat men wordt aangespoord om het “aanhangsel” te openen met alle gevolgen van dien. Een gewaarschuwd mens telt voor twee. Daarom dan ook: Verwijder de mail onmiddellijk en klik vooral niet op de Attachment link.

Please follow and like us: