Fake e-mail ANWB met ransomware - Privacy en beveiliging

donderdag 10 december 2015 16:21

Acties:

+2 Henk 'm!

Topicstarter

Sinds vanmiddag kreeg ik een nep factuur met een "factuur nummer.pdf.exe" en deze werkt niet op GNU/Linux

Het e-mailadres is puur voor domeinregistratie en dus niet bekend bij ANWB.

De ANWB waarschuwt al, maar met compleet verkeerde informatie en het is niet alleen hun zakelijke klanten.
http://www.anwb.nl/nieuws...ing?ovaherk=news-and-tips

Niet elke virusscanner vindt hem:
https://www.virustotal.co...4451306b2af0290/analysis/

Pas dus op als je Windows OS gebruikt.

code:

Return-Path: <no_reply@anwb.nl>
Received: from lux-qiw-9i2.k95ibhd029 (unknown [103.39.156.237]) by aeshnidae.dragonflycms.net (Postfix) with ESMTP id 11A0520E2C for <......@cpgnuke.com>; Thu, 10 Dec 2015 15:55:28 +0100 (CET)
Subject: Openstaande Facturen
From: ANWB <no_reply@anwb.nl>

[ Voor 26% gewijzigd door DJMaze op 10-12-2015 16:27 . Reden: Relevante mail headers toegevoegd ]

Maak je niet druk, dat doet de compressor maar

donderdag 10 december 2015 16:22

Acties:

0 Henk 'm!

Rockvee2

Bedankt voor de melding. Zal de collegas op het werk hierover informeren die het wagenpark afhandelen. Zelf nog niet gezien

donderdag 10 december 2015 16:26

Acties:

+1 Henk 'm!

Ryan_

Man man man. Enorme knoepers van spelfouten.

Afbeeldingslocatie: http://www.anwb.nl/bestanden/w620/content/gallery/anwb/nieuws/homepage-nieuws/voorbeeld-phishing.jpg

donderdag 10 december 2015 23:48

Acties:

0 Henk 'm!

Techrvw

https://techrvw.com/ | TikTok

Zoals de mail hierboven geschreven is, zou je het meteen moeten herkennen.. Inderdaad vol spelfouten.

https://techrvw.com/

donderdag 10 december 2015 23:54

Acties:

+6 Henk 'm!

MrBreaker

Da's toch altijd wel netjes, dat ze zich met zijn allen aan deze beroepscode houden

.

You may enlighten me!

vrijdag 11 december 2015 08:09

Acties:

+1 Henk 'm!

Johan9711

Verslaaft aan Tweakers

Kund u beze

Als je hier in trapt ben je echt een ei. (Helaas zijn het er telkens weer veel te veel die er in trappen.)

Mijn tweakblog: http://johan9711.tweakblogs.net/

vrijdag 11 december 2015 08:17

Acties:

0 Henk 'm!

M a r c o

iemand bij ons op de fotoclub is hier dus wel ingetrapt.

Sinds gisteren waren ineens alle files in onze gedeelde dropbox map versleuteld door ransomware.
Door het log te bekijken kon ik zien dat alle files door 1 persoon gewijzigd waren.
Deze maar even direct gewaarschuwd.

http://nos.nl/artikel/207...krijgen-phishingmail.html

Het is ook echt gewoon een ontzettend smerige ransomware.

elke map waarin versleutelde bestanden staan, komt een textbestand bij met de naam: "how to restore"

1111111111111111111111111111111111111111111111111111111111111111111111111111

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: Wikipedia: RSA (cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

1111111111111111111111111111111111111111111111111111111111111111111111111111
How did this happen ?
---Specially for your PC was generated personal RSA-4096 KEY, both public and private.
---ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
1111111111111111111111111111111111111111111111111111111111111111111111111111
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

[ Voor 77% gewijzigd door M a r c o op 11-12-2015 08:26 ]

vrijdag 11 december 2015 08:52

Acties:

0 Henk 'm!

marcop82

Deze heb ik ook zien passeren, het meeste personeel heb ik gelukkig zo slim gemaakt dat ze verdachte mails niet zomaar moeten openen en de boekhouding weet dat ze met dubieuze dingen niet moeten twijfelen en eerst contact opnemen met de IT afdeling.

vrijdag 11 december 2015 08:59

Acties:

+1 Henk 'm!

Anonymoussaurus

Medewerker van Oxygen Updater

Hahahaha. Die typ fouten. Wat ik altijd als eerste doe, is het e-mail adres bekijken van degene die de mail verstuurd heeft.

Medewerker van Oxygen Updater: discord.gg/5TXdhKJ

vrijdag 11 december 2015 09:18

Acties:

0 Henk 'm!

dukejan

Je kunt toch de bestanden herstellen naar de vorige staat? Opties als "vorige versies ( shadow copy )" en je dagelijkse backup zorgen ervoor dat de schade beperkt blijft.

vrijdag 11 december 2015 09:43

Acties:

0 Henk 'm!

Tom-Z

dukejan schreef op vrijdag 11 december 2015 @ 09:18:
Je kunt toch de bestanden herstellen naar de vorige staat? Opties als "vorige versies ( shadow copy )" en je dagelijkse backup zorgen ervoor dat de schade beperkt blijft.

Dit soort malware gooit vaak alle shadow copies weg, en lang niet alle mensen hebben een backup (en met een beetje pech wordt zo'n backup ook gecrypt, als die bijvoorbeeld op een aangesloten externe harde schijf staat).

vrijdag 11 december 2015 09:50

Acties:

0 Henk 'm!

hackerhater

Pfff wat een fouten. Ik heb dit topic even aan mijn vriendin gegeven om dit mailtje in de mail-filters te gooien (we zijn een webhost)

vrijdag 11 december 2015 10:18

Acties:

0 Henk 'm!

dennis_rsb

Anonymoussaurus schreef op vrijdag 11 december 2015 @ 08:59:
Hahahaha. Die typ fouten. Wat ik altijd als eerste doe, is het e-mail adres bekijken van degene die de mail verstuurd heeft.

Maar dat adres doen ze toch vaak spoofen, dat is juist het vervelende van zulke mails. Je kunt op die manier écht denken dat het komt van, in dit geval, de ANWB.

vrijdag 11 december 2015 10:21

Acties:

0 Henk 'm!

Standeman

Prutser 1e klasse

Ah, ze zijn geswitched van Interim Justitia naar ANWB

The ships hung in the sky in much the same way that bricks don’t.

vrijdag 11 december 2015 10:24

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Het begon met TransIP, Interim Justitia, daarna de KPN en nu opeens de ANWB.

Hoe worden deze mails verstuurd? Via een botnet of via een geinfecteerde PC?
En ja, ik krijg die zut vaak elke nacht in mijn mailbox binnen.

[ Voor 17% gewijzigd door AW_Bos op 11-12-2015 10:25 ]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

vrijdag 11 december 2015 10:28

Acties:

0 Henk 'm!

hackerhater

Botnets doorsnee.
Wat je tegenwoordig steeds meer ziet is dat mailservers de IP-adressen van de afzender tegen het A-record van het domein gaan leggen en/of het SPF-record van dat domein

Geen match => spam.

vrijdag 11 december 2015 10:30

Acties:

0 Henk 'm!

RemcoDelft

DJMaze schreef op donderdag 10 december 2015 @ 16:21:
"factuur nummer.pdf.exe"

Er wordt toch pas een jaar of 20 misbruik gemaakt van het verbergen van de extensie door Windows... Is het nog steeds zo dat ze niet gewoon de hele filenaam laten zien?

Johan9711 schreef op vrijdag 11 december 2015 @ 08:09:
Kund u beze
Als je hier in trapt ben je echt een ei. (Helaas zijn het er telkens weer veel te veel die er in trappen.)

Zelfs hier op Tweakers lopen genoeg mensen rond die "ik vindt" schrijven, het doet pijn aan m'n ogen maar spelling wordt redelijk vergeten op school tegenwoordig.

Ondertussen stijgt de bitcoin-koers vrolijk door, al die nieuwe instappers die hun data encrypted hebben helpt vast

[ Voor 7% gewijzigd door RemcoDelft op 11-12-2015 10:30 ]

vrijdag 11 december 2015 10:32

Acties:

0 Henk 'm!

Opifex

Tom-Z schreef op vrijdag 11 december 2015 @ 09:43:
[...]
Dit soort malware gooit vaak alle shadow copies weg, en lang niet alle mensen hebben een backup (en met een beetje pech wordt zo'n backup ook gecrypt, als die bijvoorbeeld op een aangesloten externe harde schijf staat).

Het gaat over versleutelde bestanden op een dropbox, en die shadow copies kan de malware niet verwijderen. Die kan je altijd terugzetten.

vrijdag 11 december 2015 10:40

Acties:

0 Henk 'm!

gekkie

RemcoDelft schreef op vrijdag 11 december 2015 @ 10:30:
[...]

Er wordt toch pas een jaar of 20 misbruik gemaakt van het verbergen van de extensie door Windows... Is het nog steeds zo dat ze niet gewoon de hele filenaam laten zien?

Moet je in outlook op zoek gaan naar een reeële weergave van het emailadres en de headers ...

vrijdag 11 december 2015 10:42

Acties:

0 Henk 'm!

HeatWave

Back to my tweakersroots!

Hier ook iemand die er in is getrapt, gelukkig net op tijd de machine gekilled zodat ik het meeste uit de Volume shadow kan halen.

Cisco lijkt er een decryptie-methode voor te hebben: http://blogs.cisco.com/security/talos/teslacrypt

A gentle wave of heat flows over the GOT forum | Specs!

vrijdag 11 december 2015 11:29

Acties:

0 Henk 'm!

Anonymoussaurus

Medewerker van Oxygen Updater

AW_Bos schreef op vrijdag 11 december 2015 @ 10:24:
Het begon met TransIP, Interim Justitia, daarna de KPN en nu opeens de ANWB.

Hoe worden deze mails verstuurd? Via een botnet of via een geinfecteerde PC?
En ja, ik krijg die zut vaak elke nacht in mijn mailbox binnen.

Elke nacht??? Ik krijg iets van 1 keer in de paar weken een mail over Russische 'geile' vrouwen. Altijd van een Russisch e-mail adres..

Medewerker van Oxygen Updater: discord.gg/5TXdhKJ

vrijdag 11 december 2015 11:48

Acties:

0 Henk 'm!

M a r c o

azziplekkus schreef op vrijdag 11 december 2015 @ 10:32:
[...]
Het gaat over versleutelde bestanden op een dropbox, en die shadow copies kan de malware niet verwijderen. Die kan je altijd terugzetten.

Nee, hij versleuteld alle bestanden op je computer volgens mij.
Ik kwam alleen achter de besmetting van de kennis, omdat ik zag dat alle bestanden in de gedeelde dropbox map versleuteld waren. En daar waren in dropbox vreemd genoeg ook geen oudere versies van te vinden of terug te halen.

Nu had ik de situatie per toeval al op mijn werk ontdekt, omdat ik via de browser in de dropbox map keek.
Dus ik heb mij afgemeld bij de gedeelde dropbox map, zodat deze thuis niet zou synchroniseren met de versleutelde bestanden. Zo had ik nog een kopie van de dropbox map.
Maar ik denk dat die kennis zelf een groter probleem zal hebben.

vrijdag 11 december 2015 12:04

Acties:

0 Henk 'm!

Opifex

M a r c o schreef op vrijdag 11 december 2015 @ 11:48:
[...]

Nee, hij versleuteld alle bestanden op je computer volgens mij.
Ik kwam alleen achter de besmetting van de kennis, omdat ik zag dat alle bestanden in de gedeelde dropbox map versleuteld waren. En daar waren in dropbox vreemd genoeg ook geen oudere versies van te vinden of terug te halen.

Nu had ik de situatie per toeval al op mijn werk ontdekt, omdat ik via de browser in de dropbox map keek.
Dus ik heb mij afgemeld bij de gedeelde dropbox map, zodat deze thuis niet zou synchroniseren met de versleutelde bestanden. Zo had ik nog een kopie van de dropbox map.
Maar ik denk dat die kennis zelf een groter probleem zal hebben.

Alle bestanden op de pc van je collega zullen inderdaad gelocked zijn, maar het was vooral naar jou gericht. Bij jouw zijn alleen de bestanden in die shared dropbox folder gelocked. Die kan je zonder problemen terughalen via de webinterface van dropbox.

vrijdag 11 december 2015 13:32

Acties:

+1 Henk 'm!

jay123

Hoera! Onze bedrijfsfirewall houdt 'm tegen.
Dit soort mails zijn bij ons trouwens schering en inslag.

Gelukkig dat onze firewall de attachment ledigt, en in plaats een txt-bestand zet met "This attachment has been removed". Hoevaak ik telefoontjes krijg van medewerkers met: "Zeg er is een attachment verdwenen uit mijn mail. Kan je mij deze bezorgen zo dringend mogelijk? Het gaat om een factuur."

Of deze; Doorhebben dat het niet correct is, maar toch de bijlage openen.

Afbeeldingslocatie: http://i68.tinypic.com/25hlbiw.jpg

Afbeeldingslocatie: http://i68.tinypic.com/25hlbiw.jpg

Gelukkig dat deze personen achter de firewall werken en niet ervoor. Jezus.

[ Voor 12% gewijzigd door jay123 op 11-12-2015 13:37 . Reden: fotooooo ]

vrijdag 11 december 2015 15:29

Acties:

0 Henk 'm!

DJMaze

Topicstarter

jay123 schreef op vrijdag 11 december 2015 @ 13:32:
Of deze; Doorhebben dat het niet correct is, maar toch de bijlage openen.

Ken deze leverancier niet

offtopic:
Inburgeringscursus gemist? Of behandelen ze daar de ANWB niet?

Ik vind het vooral frappant dat er bij mensen geen belletje rinkelt bij "Geachte [EMAILADRES]",
dat is sowieso al waarschuwing nummer 1.

[ Voor 12% gewijzigd door DJMaze op 11-12-2015 15:30 ]

Maak je niet druk, dat doet de compressor maar

vrijdag 11 december 2015 15:36

Acties:

0 Henk 'm!

jay123

offtopic:
Inburgeringscursus gemist? Of behandelen ze daar de ANWB niet?

offtopic:
Nuttige essentiële informatie: Je suis belge!

vrijdag 11 december 2015 15:39

Acties:

0 Henk 'm!

Angeloonie

Cheeseburger Addict

jay123 schreef op vrijdag 11 december 2015 @ 13:32:
Hoera! Onze bedrijfsfirewall houdt 'm tegen.
Dit soort mails zijn bij ons trouwens schering en inslag.

Gelukkig dat onze firewall de attachment ledigt, en in plaats een txt-bestand zet met "This attachment has been removed". Hoevaak ik telefoontjes krijg van medewerkers met: "Zeg er is een attachment verdwenen uit mijn mail. Kan je mij deze bezorgen zo dringend mogelijk? Het gaat om een factuur."

Of deze; Doorhebben dat het niet correct is, maar toch de bijlage openen.

[afbeelding]

Gelukkig dat deze personen achter de firewall werken en niet ervoor. Jezus.

User heeft meteen al zijn rechten beperkt gekregen tot read-only op alles mag ik hopen? Wat een dipshit.

Uplay: Angeloonie - Battletag: Angeloonie#2758 - Steam: Angeloonie

vrijdag 11 december 2015 15:40

Acties:

0 Henk 'm!

Xyphoid

Of gewoon even je rekeningen checken op de site. Of als je weet wat je per maand betaald, in je eigen afschriften kijken. Zo moeilijk is het niet.

Maar goed, genoeg mensen die in paniek raken als ze een "te laat betaald" mailtje krijgen en dan maar op alles gaan klikken.

Toshiba e755 Pocket PC>Panasonic G500>Nokia 8210>Nokia 8850>Vario MDA (htc wizard 200)>Vario MDA III (htc tytn II)>HTC Hero>HTC Desire HD>Asus Transformer TF101>Asus Padfone>Oppo Find 5>LG Nexus 5>Wileyfox Swift 2X>Razer Phone>Pixel 8 Pro

vrijdag 11 december 2015 18:55

Acties:

0 Henk 'm!

Thalaron

jay123 schreef op vrijdag 11 december 2015 @ 13:32:
Hoera! Onze bedrijfsfirewall houdt 'm tegen.
Dit soort mails zijn bij ons trouwens schering en inslag.

Gelukkig dat onze firewall de attachment ledigt, en in plaats een txt-bestand zet met "This attachment has been removed". Hoevaak ik telefoontjes krijg van medewerkers met: "Zeg er is een attachment verdwenen uit mijn mail. Kan je mij deze bezorgen zo dringend mogelijk? Het gaat om een factuur."

Of deze; Doorhebben dat het niet correct is, maar toch de bijlage openen.

[afbeelding]

Gelukkig dat deze personen achter de firewall werken en niet ervoor. Jezus.

Het blijft me altijd verbazen hoeveel mensen het anno 2015 niet snappen... Dat mijn bejaarde oma erin zou trappen snap ik nog wel maar OMFG

SolarEdge - 18x305Wp Denon (Glas-Glas) 5,49 kWp 120° ZO + Growatt - 15x430Wp Denon (Glas-Glas) 6,45kWp 300° NW

zaterdag 12 december 2015 00:14

Acties:

0 Henk 'm!

Verwijderd

Misschien moeten we, gezien de brede beschikbaarheid van deelmogelijk in clouddiensten, gewoon uberhaupt eens afstappen van het fenomeen attachment... zou zo veel ellende schelen.

zaterdag 12 december 2015 00:34

Acties:

0 Henk 'm!

Fish

How much is the fish

hackerhater schreef op vrijdag 11 december 2015 @ 10:28:
Botnets doorsnee.
Wat je tegenwoordig steeds meer ziet is dat mailservers de IP-adressen van de afzender tegen het A-record van het domein gaan leggen en/of het SPF-record van dat domein

Geen match => spam.

nou a record lijkt me niet handig.

MX, spf records en RDNS ok, maar A? nee toch

Iperf

zaterdag 12 december 2015 10:31

Acties:

0 Henk 'm!

FlipFluitketel

Frontpage Admin

HeatWave schreef op vrijdag 11 december 2015 @ 10:42:
Hier ook iemand die er in is getrapt, gelukkig net op tijd de machine gekilled zodat ik het meeste uit de Volume shadow kan halen.

Cisco lijkt er een decryptie-methode voor te hebben: http://blogs.cisco.com/security/talos/teslacrypt

Dit werkt dus helaas niet. Een kennis van me is er ingetrapt en alle bestanden zijn nu dus versleuteld.

Meer info over deze ransomware: http://www.bleepingcomput...nsion-to-encrypted-files/

Op die Cisco-blog hebben ze het nog over een ecc-extensie maar die ransomware "van de ANWB" gebruikt een .vvv-extensie.

http://www.bleepingcomput...-encrypted-by-teslacrypt/
Tooltje om bepaalde Teslacrypt varianten te decrypten, geen idee of het werkt bij de ANWB-versie, straks eens proberen hier.

[ Voor 36% gewijzigd door FlipFluitketel op 12-12-2015 13:23 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

zondag 13 december 2015 11:05

Acties:

0 Henk 'm!

hackerhater

Fish schreef op zaterdag 12 december 2015 @ 00:34:
[...]

nou a record lijkt me niet handig.

MX, spf records en RDNS ok, maar A? nee toch

Ligt eraan wat er in het MX-record staat

Staat daar een IP-adres of een simpele doorverwijzing naar A/AAAA?

zondag 13 december 2015 11:27

Acties:

0 Henk 'm!

Miyamoto

hackerhater schreef op zondag 13 december 2015 @ 11:05:
[...]

Ligt eraan wat er in het MX-record staat Staat daar een IP-adres of een simpele doorverwijzing naar A/AAAA?

Een MX record moet naar een hostname verwijzen...

zondag 13 december 2015 11:55

Acties:

0 Henk 'm!

Fish

How much is the fish

Miyamoto schreef op zondag 13 december 2015 @ 11:27:
[...]

Een MX record moet naar een hostname verwijzen...

Maar hoeft niet naar de hostname van het domein zelf te wijzen. Anders heeft het mx record ook geen bestaandsrecht meer

Iperf

zondag 13 december 2015 17:09

Acties:

0 Henk 'm!

DJMaze

Topicstarter

Fish schreef op zaterdag 12 december 2015 @ 00:34:
nou a record lijkt me niet handig.

MX, spf records en RDNS ok, maar A? nee toch

Bij één van de laatste aanvallen was de SPF ook gespooft.
DKIM en DMARC zou kunnen, maar daar doet bijna niemand aan mee.

[ Voor 13% gewijzigd door DJMaze op 13-12-2015 17:13 ]

Maak je niet druk, dat doet de compressor maar

woensdag 16 december 2015 09:08

Acties:

0 Henk 'm!

FlipFluitketel

Frontpage Admin

Hoppa.. Bestanden terug en niet uit een backup (want die was er niet

). Of alles 100% terug is weet ik nog niet aangezien het kan zijn dat er meerdere sleutels gebruikt zijn.

Op die pagina wat ik al zei stond eerst uitleg hoe het mogelijk was de encryptie te kraken (of hoe je het ook wilt noemen). Die uitleg is weggehaald omdat ze de virusmakers niet wijzer willen maken maar er zit dus (hopelijk) een tooltje aan te komen waarmee de bestanden terug te halen zijn en anders kan het zijn dat er mensen bij Bleepingcomputer zijn die het willen kraken.

In de instructies hadden ze het over een stap die diverse uren tot diverse dagen kon duren maar hier was dat in 50min klaar.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

woensdag 16 december 2015 09:17

Acties:

0 Henk 'm!

marcop82

Deze week hebben we nog een golf aan Intrum Justitia mails ontvangen op wat openbaar gekende mailboxen.
Ik heb de boel maar op slot gezet met AppLocker en ook HELP_YOUR_FILES.PNG in de root van de C: gezet, dit zou CryptoLocker 4.0 in een loop sturen voordat ie begint te encrypten.