CSIS løfter med øjeblikkelig virkning vores trusselsvurdering fra medium til høj. Det sker som konsekvens af en ny massiv spambølge som i dag rammer Danmark og som leverer rendyrket og ondsindet ransomware. Vi har flere virksomheder, som i dag har henvendt sig til CSIS, og som ønsker hjælp efter de er ramt af denne ransomware.
Den pågældende spammail foregiver at komme fra PostNord/Postdanmark. Med den uønskede e-mail følger et link, som hvis klikkes på, vil flytte ofret over på en webside, hvorfra man vil blive tilbudt filen "forsendelse.zip -> forsendelse.exe". 
Infektionskæde, ved et klik på ovenstående link, er gengivet herunder:
http://dshome.ru/cLkKV6jnihC5g.php?id=(email adresse på modtageren)
(1) --> postdanmark-portal.com -> forsendelse.zip
(2) --> sync.security.pp.regruhosting.ru
Hvis denne fil åbnes af en uforsigtig bruger (og flere advarsler ignoreres) vil en ransomware med navnet "crypt0l0cker" droppes til maskinen. Denne malware vil injekte sig i flere processer og dernæst igangsætte kryptering af data lokalt samt på alle tilgængelige netværksressourcer. Det kan føre til tab af data og give massive driftsforstyrrelser.
Det pågældende link anvender en "jumpstation" med en referal til [%modtager e-mailen%] (derved bekræfter de også at modtageren er aktiv), som har klikket på linket. Referal ID'et skaber en base64 kodet identifikator, som gør at ransomwaren kun tilbydes en gang. Hvis man efterfølgende forsøger at genskabe problemet, og forsøger at hente koden vil man blive videredirigeret til Google. Snedigt.
Den binære kode kopierer sig til windows mappen med et vilkårligt filnavn f.eks."ohuhycpg.exe", hvorefter den forbinder sig til en server i Rusland på IP adressen (saniteret af CSIS): 109.120[.]155.159. Det sker ved at injekte sig i explorer.exe processen. Serveren oversættes via DNS fra følgende domæner:
ejkoesc[.]net
oroxwey[.]com
mqweodhy[.]com 
Alle kidnappede data vil blive tilføjet filendelsen ".encrypted". Samtidig opretter den filen "HOW_TO_RECOVER_FILES.html" på skrivebordet. Denne fil indeholder instruktioner om betaling for at opnå adgang til data. Se skærmdump herunder:
Koden opretter en runas værdi som sikrer at koden aktiveres ved en genstart af maskinen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run agukelub
Den deaktiverer endvidere diverse antiphishing filtre f.eks. i IE:
HKEY_USERS\Software\Microsoft\Internet Explorer\PhishingFilter Disabled
Vi har blokeret disse domæner i CSIS Secure DNS. Antivirus detektion er yderst lav.
https://www.virustotal.com/da/file/1b41c32c55de43ddb3871260fd0ea30d067dc27840b7f63d857afa7f9267c73a/analysis/1442488273/
Derudover har vi blokeret for mere end 100 domæner der anvendes som "jumpstationer" i CSIS Secure DNS og Heimdal PRO/corporate.