CSIS har opsamlet en større spam kampagne, som via et vedhæftet zip-arkiv, og et obfuskeret javascript, vil forsøge at downloade malware/ransomware til maskinen. Det sker hvis indholdet aktiveres af en uforsigtig modtager og flere advarsler ignoreres.
Den uønskede e-mail ankommer med følgende indhold:
Den pågældende .js fil vil forsøge at downloade tre filer fra forskellige kompromitterede websider (saniteret af CSIS)
http://babykucomel.com/wp-admin/js/73.exe
http://balwindersingh.in/bsdemo/js/73.exe
http://avtimespg.com/73.exe
Se skærmdump af obfuskeret og deobfuskeret javascript payload herunder:
En ny bølge af samme bande og med en ny/modificeret payload er sendt i omløb søndag morgen.
Hovedkomponenten er i Cryptowall klassen og dropper sig som "dwjxe-a.exe". Som alle moderne ransomware gennemfører den med det samme en række indgreb på maskinen, som skal besværliggøre gendannelse af systemet efter infektionen. Det sker ved at spawne følgende kommandoer:
bcdedit.exe /set bootems off
bcdedit.exe /set advancedoptions off
bcdedit.exe /set optionsedit off
bcdedit.exe /set bootstatuspolicy IgnoreAllFailures
bcdedit.exe /set recoveryenabled off
vssadmin.exe delete shadows /all /Quiet
Den kontakter herefter yderligere to domæner som anvendes til at indrulle maskinen i et BOTnet ved en GET request til /misc.php? på (saniteret af CSIS):
nhansu1000.net
oriindia.com
Ransomwaren forbinder sig automatisk til:
http://gfhshhf.home7dfg4.com/B186EFC31B48037
Denne URL giver ofret instruktioner om hvordan data kan købes tilbage. Se skærmdump.
Derudover droppes følgende filer indeholdende krav til ofret på den lokale maskine:
how_recover+fuv.htm
how_recover+fuv.txt
Filerne kopieres til windows start mappen, så de vises hver gang maskinen genstartes, eksempelvis:
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartuphow_recover+fuv.htm
Cryptowall krypterer automatisk samtlige datafiler på maskinen.
Vi har blokeret samtlige af disse domæner i CSIS Secure DNS og Heimdal PRO/corporate.
Anbefalinger:
Generelt kan der gives flere råd omkring ransomware men det bedste råd er fortsat at udvise sund fornuft og ikke åbne indhold fra ukendt kilde. Derudover anbefaler vi at man installerer et software som kan hjælpe til at holde tredjepartssoftware opdateret. I den sammenhæng er vores klare anbefaling at man bruger Heimdal som kan hentes gratis til privat forbrug på https://heimdalsecurity.com
Det er IKKE en løsning at betale løsesummen. Det fodrer et voksende kriminelt marked og vil direkte medvirke til at problemet vokser sig endnu større end det allerede er.
Det sidste råd er at sikre at man til enhver tid har en opdateret backup af værdifuld data. Det ikke alene på grund af ransomware men af 1000 andre gode grunde!