Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - ransomware

Pågående våg av ransomware

Nu är det åter dags för en flod av mejl med skadlig kod. I detta fall Crypt0l0cker, ett så kallat ransomware som krypterar din dators filer samt nätverksanslutna lagringsytor.

Mejlets ämnesrad lyder Fakturan, Betala din faktura eller varianter på temat. I mejlet finns en länk till dropbox därifrån man uppmanas hämta fakturafilen. Den filen innehåller den skadliga koden. Kasta omgående mejlet om du får ett sådant. Det förekommer även fall då bluffmejlen kommer med en skadlig HTML-fil bifogad.

I skrivande stund känner bara vissa antivirussystem igen filen som skadlig.
Går det illa så möts du av det här meddelandet.

ransomwaremeddelande

Sedan 2017-02-24 levereras skadliga koden även som ett dokument med macro som innehåller i sin tur Powershell.
Dokumentet kan t.ex se ut som detta:

Alt text

Exempelindikatorer (IoC)

Domännamn:
    ipecho.net
    riminiwifi.net
    [a-z]{6}.neflot.org
    honestr.org
    *.vr-server3409.ru

Subject/ärende-rad:
    'Betala din faktura'
    'PDF-faktura'

URL:
    hxxps://dl.dropboxusercontent[.]com/s/gkcrn6s60khh76w/faktura5.zip?dl=0
    hxxps://dl.dropboxusercontent[.]com/s/mcuz1ivwt5oorob/faktura2.zip=?dl=0
    hxxps://dl.dropboxusercontent.com/s/2d573opxh5aoqgd/faktura6.zip?dl=0
    hxxps://dl.dropboxusercontent.com/s/jgjz9703o5u07hd/faktura10.zip?dl=0
    hxxp://riminiwifi[.]net/irina[.]jjh
    hxxp://directory[.]submitlocally[.]com/post.vbh
    hxxp://ipecho.net/plain (Ej maliciös, men kollas av skadliga koden.)
    hxxp://*.vr-server3409[.]ru/file/nit.nbv

Filer:
    irina.jjh
    - md5 14bd07f61cc17a462dc661f4999337c1 irina.jjh
    - sha1 3589b9251f968b512f06eac826f71c6c105ec876  irina.jjh
    - sha256 e0100530a79d2fbc666e547a0f9e921ae7fe322a2b6410858433bc31ba1cdaff  irina.jjh
    post.vbh
    - md5 b86bd6a8039370b3f0107deeb368bdb5 post.vbh
    - sha256 8aa36a5b1f69dd8a5c2b9a8125ab6e66fcdb1d9c07dcec4d51fecf2e8e28b522 post.vbh

IP-Adresser:
     5.12.167.98 [5-12-167-98.residential.rdsnet.ro.]
     5.196.201.100
     195.62.176.165
     185.16.41.133

Som brukligt kommer antalet unika indikatorer att vara stort. Vi välkomnar era bidrag till mejladressen cert@cert.se

Ytterligare läsning

Råd och hjälp att få angående ransomware:
https://www.nomoreransom.org/

Mer information om ransomware i allmänhet:
https://www.cert.se/2015/11/cert-se-informerar-med-anledning-av-mangden-aokade-ransomware-attacker
https://www.cert.se/2015/11/2015-11-20_Problemomradet_Ransomware.pdf