Postnords ransomware

Ja något sådant. Har inte sett mejlet ifråga men det är så dom brukar funka. Har fått liknande mejl från banker, paypal, skatteverket etc. En vanlig metod att lura folk att klicka. Min far råkade klicka på skatteverket mejlet många år sen och fick virus men det var inte ransomware dock.
Ransomware hade varit betydligt värre då det var hans jobbdator.

Så var extra försiktig och klicka inte på allt som kommer i inkorgen

Ingen aning. Är inte insatt i hur viruset fungerar. Antagligen en länk eller bifogad fil i själva mejlet som då exekverar skadliga koden men om den bara fungerar i windowsmiljö eller även andra os vet jag ej.

Så här såg tidigare mejl såg ut t.ex. Finns säkert olika variationer.

Skulle akta mig för det, vissa ransomware och trojaner kan ta sig ur Virtualmachines. Troligen inte det i post nord mejlen dock men fortfarande.

Inget kommer att hända förmodligen. Då virus menat för PC kan inte köras på Android lur och vice versa. Det är helt 2 olika OS. Tror det inte finns så avancerat virus så det infekterar 2 olika OS samtidigt "ännu".

Länken verkar gå till en zip-fil som i sin tur exekverar javascript som laddar ner viruset. Så eventellt borde man få ner viruset, men sedan borde inte så mycket mer hända.

https://www.cert.se/2016/11/ny-vag-av-natfiske-med-postnord-s...

Känns spontant som det enklaste man kan göra för att skydda sig om man är osäker på ett mail både som privatperson eller företag är att öppna det i sin ipad/platta/telefon - så slipper man iaf få in skit i sin riktiga dator.

// LZ

Alla mejl av den typen att det är väldigt bråttom, väntar man så kostar det pengar etc. skall man ta med stor nypa salt - texten är för att för att väcka flykt-reflexen och då slutar hjärnan att tänka kritiskt och sväljer lättar det som står vidare på sidan - många människor hamnar i läge flykt-panik rent kropps-kemiskt så fort det handlar om att plötsligt oväntat bli skyldiga kännbar mängd med pengar.

Det är alltså skrämsel och terror på hög nivå mot offren för att leda dem till den ännu mera djävulska programmet som krypterar diskinnehållet för offret och den riktiga tortyren och utpressningen börjar.

---

Det är bara en tidsfråga innan virusen är specifikt riktade mot smartphone så det är ingen bra rekommendation för framtiden med tanke på hur mobilerna används idag med allt mer företagsspecifika applikationer, bankappar, inloggningssystem och annan privat information som samlas där.

Minst farliga är förmodligen att starta på en burk utan inkopplad HD en linux-live DVD-skiva och surfa in och hämta mailet där med webbrowsern och granska den i miljön (brukar finnas pdf-viewer, libre office för doc-filer och excel-filer tillräckligt duktiga för att se om filen är öppningsbar med vettig innehåll), beter det sig konstig där eller inte öppningsbart på förväntat sätt så är det något skumt i filen och då raderar man mailet/filen på mailservern och därefter rycker man ur sladden ur datorn så är allt bortglömt igen eftersom det inte finns någon skrivbar media att spara på för viruset i burken.

Varför linux - det är för att det är erkänt svårhackat (om man är vanlig user och inte kör som root) samt att det inte är miljön som är i virusmakarnas fokus utan de vill hitta lätta offer i Android-världen, PC-världen och Iphone-världen där det finns miljoner till miljarder användare av dessa och det är alltid några av dessa som har dålig säkerhet, ej uppdaterad enhet eller ouppmärksam användare.

Sedan när det gäller virusspridning så måste det vara tillräckligt tätt mellan 'offren' som släpper in virus för att en spridning skall ta fäste och sedan växa och då är linux-klienter på desktopmiljö ett mycket dåligt val...

Ja det är aningen förbryllande faktiskt. Man tycker programmeringen borde vara svårare än att översätta/skriva lite text.

Somliga säger att det är avsiktligt så för att fånga de mer 'dumma' användarna medans de lite duktigare vill man inte ha att göra med då det kan finnas några där som faktiskt kan bli ett hot tillbaka mot virusmakarna om de blir tillräckligt förbannade...

Med andra ord är det lågt stående kryp av virusmakare som avsiktligt ger sig på dom användare som har väldigt svårt att parera och försvara sig mot den här typen av angrepp.

---

Många virusdropper har vägar in för att starta exe-program som senare skaffar rättigheter utan att användaren får någon anmodan alls att ge programmet tillstånd till administrativa rättigheter. - det räcker med ett dubbelklick på bilagan i tron att du skall öppna den med en pdf-viewer.

Man måste ha windowsbrandväggen eller vad det heter på max för att stoppa den typen av angrepp, allt under detta så går sådant förbi onoterat.

Den senaste är en länk till en sida som automatiskt försöker ladda ned en zipfil. Zipfilen innehåller sen ett förvrängt javascript som i sin tur försöker ladda ned en exe-fil. Exe filen är det verkliga viruset.

cert se har fått ute lite info om det hela också https://www.cert.se/2016/11/ny-vag-av-natfiske-med-postnord-s...

Kanske enklast och annars finns det en del man kan göra för att säkra upp sin Windowsdator hemma eller på jobbet om man vill. Jag delade med mig av några tips senast ett företag blev drabbat av ransomware #16398694:

• Applocker för vitlistning av alla applikationer du kör

• Slå av all exekvering av makron i Office (vanlig väg in)

• Slå på visning av filändelser, så att man ser vad det är för typ av fil man klickar på. Faktura.pdf.js ska inte visas som Faktura.pdf

• Ändra så att skriptfiler öppnas i Anteckningar istället för att köras i WSH och MSHTA

• Inaktivera WSH

Disabling Windows Script Host
Jessica Payne (Security Person at Microsoft): Lots of malware relies on fact users can simply double click on things like .hta and .js and execute the code for them due to associations.
John Lambert (General Manager, Microsoft Threat Intelligence Center): Don't like .HTA malware? Use the F-word--ftype > FTYPE.EXE htafile="c:\windows\system32\notepad.exe" "%1"

@torbjorn_75: Lägg till geotaggning. Många länkar går till öst och har man ingen verksamhet i dessa delar av världen man man lungt spärra dessa IP i brandväggen. Förutsätter såklart att brandvägen har detta stöd inbyggt.

Att slå av visningen av filändelsen som default är nog en av de mest idiotiska 'uppsnoffsing' av grafiska gränssnitt som MS har gjort - det har orsakat miljoner av infekterade datorer som förmodligen hade hävts/hindrats om användaren haft chansen att se filändelsen.

Tyvärr lider sådana här saker av 'tyranny of the default' - även om det är lätt att ändra så görs det inte av det stora flertalet av användarna och oavsett hur många som tjatar om detta.

Den här gången ja! - nästa gång har man inte den turen...

Hoppas din vän fick tillräckligt med näsbränna för att verkligen fundera på hur framtida backupstrategi skall se ut och i utformning att man inte förstör sina friska backup även om man ovetandes har ett sådan ransomvirus härjande i sin dator.

Det här att göra backup mot molntjänst/NAS med generationshantering av filskrivningar/daglig backup är plötsligt väldigt viktigt den dagen man får in virus som skriver sönder precis all den kommer åt och kanske hinner göra det ett tag oupptäckt...

Apple har sin time-machine - men jag vet inte hur den är upplagd och om dess undanlagrade generationer av filer är synliga över filbrowser etc. över kopplingen och därmed utsatt för möjlighet till virusangrepp...

Kan tillägga lite info då jag undersökt detta på jobbet en del då jag jobbar som it-säkerhetsanalytiker blir det en del av det otacksamma jobbet när folk trycker på sådant här.

Saknas internet-uppkoppling krashar exekeveringen av js-filen.
Headers.exe som den laddar ner gör rätt mycket mer än att bara söka genom datorn. Den försöker använda existerande monteringen, cookies etc. för att se om man kan accessa office365/live-dokument och kryptera även allt på molntjänster.
Den krypterar dessutom även sin egen js-fil

Något den inte gör är dock att försöka bryta sig ut från användarens behörigheter. Så den skadar bara den lokala användaren och allt den kan skriva till.

Vi har matat CERT med massa data, tyvärr har de inte publicerat sidorna där Headers.exe ligger tyvärr. Vart zip-filen som innehåller en .js-fil är mindre betydelsefull tycker jag iaf. Dessa filer hostas nästan alltid på hackade wordpress-sidor, så även i detta fall. Så tyvärr är det ofta helt legitima saker placerade i västvärlden som filerna hostas på.

Att ransomware börjar som javascript har varit på modet nu i minst ett halvår.
För att förhindra detta är det bästa att plocka bort filassociationen med javascript. Detta brukar tyvärr göra utvecklare ledsna.

Om man har en surfproxy bör man också se till att slutanvändare aldrig kan ladda ner .exe-filer, även .exe-filer inuti zip-filer.

Ransomware är inte ett virus och kommer aldrig skriva sönder allt, det skulle liksom motverka dess syfte. Att nästa generation kanske omfattar fler filsuffix är underförstått - Jag ser det lika självklart som att man inte behöver påpeka det uppenbara.

Varför inte försöka vara klok i förväg?

Inom företagsvärlden så är det mycket elektroniska dokument numera via mail och somliga kanske hanterar 10-100 tals per dag med allsköns olika dokument från fraktfirmor, företag och annat - det räcker med en kort stund brist på koncentration, distraherad eller annat som gör att man klickar en gång för mycket.

Att dum-förklara offren löser inte problemet - det hela är utformat så enligt hur vi fungerar rent psykiskt för att tillräckligt många skall falla för fällan så att verksamheten skall bli lönsam för utpressarna