Ransomware bliver spredt via jobansøgninger

En ny variant af et kendt stykke ransomware spreder sig via filer vedhæftet jobansøgninger.

Den seneste variant af ransomwaren Petya er dukket op under navnet GoldenEye. Det bemærkelsesværdige i den sammenhæng er måden, hvorpå malwaren bliver spredt.

Sikkerhedsvirksomheden Check Point fortæller i et blogindlæg om, hvordan GoldenEye spredes via jobansøgninger rettet mod HR-afdelinger og en tysktalende målgruppe.

Ofte vil den afdeling, der tager mod jobansøgninger, i den forbindelse også være nødsaget til at tage imod forskellige former for vedhæftede filer, eksempelvis PDF-filer.

Spredningen af GoldenEye foregår netop via mails, der ligner en jobansøgning stilet mod en tysktalende målgruppe. Mailen har to vedhæftede filer. Den ene er en PDF-fil, som ikke er ondsindet, den anden er en Excel-fil, som indeholder ondsindede makroer.

Når Excel-filen bliver åbnet, vises et billede af en blomst med teksten 'Loading ...' sammen med en tekst på tysk, der beder offeret om at enable content, så makroerne kan køre. Når brugeren klikker på 'enable content', begynder den ondsindede kode at kryptere filer på offerets maskine.

I den forbindelse bliver der koblet en tilfældig extension på otte tegn til hver kryptereret fil. Når alle filer er krypteret, bliver der vist en ransom-note fra filen 'YOUR_FILES_ARE_ENCRYPTED.TXT'.

Efter at have fået forevist beskeden med beskeden om løsesum tvinges brugeren til at genstarte maskinen. Og i den forbindelse bliver hele disken krypteret, mens brugeren bliver præsenteret for en falsk chkdsk-skærm.

Herefter dukker et skærmbillede med en personlig kode op, der kan indtastes på et darknet-site, så løsesummen kan betales.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
Simon Mikkelsen

Det er da en god idé. Der er man jo netop vant til at modtage en masse underlige dokumenter fra ukendte folk. Der er desværre en masse exploids i dem, og de folk der tager imod mailsne er nok ofte ikke uddannede i sikkerhed.

Peter Naumann

Viden om hvem man sender til.
Ofte detaljeret viden, gør det mere sandsynligt at offeret "kører" filen. Hvis det er en mail man forventer og med et vedhæftet indhold man forventer så er der langt større chance for at få eksekveret filen. Som jeg for forstå det, var den måde at "russerne" " "hackede" det demokratiske parti i USA. Her havde man om end meget detaljeret viden om ofrene.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017