Nieuwe cryptolocker fake transportfirma

Hier horen vragen over google, irc, nieuwsgroepen, e-mail, enzovoort
Plaats reactie
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Kreeg net deze binnen, en mijn naam + adres stond in de mail:
cryptolocker22.png
Geachte heer / mevrouw,

Op vrijdag 24 februari om 16:50 heeft een van onze chauffeurs geprobeerd om een pakket voor ACHTERNAAM af te leveren op het onderstaande adres.

ACHTERNAAM
STRAAT
PC GEMEENTE

Door onbekende reden is het onze chauffeur niet gelukt om deze bestelling te bezorgen. Wij willen u verzoeken om een nieuwe afspraak te maken om alsnog deze levering te voltooien.

Om een nieuwe afspraak te maken dient u het afsprakenformulier dat automatisch voor u is gegenereerd van onze website te downloaden en in te vullen. U kunt dit formulier vervolgens mailen naar [email protected]
Het is tevens mogelijk om de bestelling op een ander adres te laten bezorgen.

Het afsprakenformulier is te vinden op onze website: http:// schalkstransport punt be/formulieren/2749135.doc

Alle benodigde gegevens alsmede de afzeneders en inhoud van het pakket zijn te vinden in het bovenstaande formulier.

Let op! het is alleen mogelijk om een nieuwe afspraak via het afsprakenformulier te maken. Het is niet mogelijk om telefonisch of op een andere manier een nieuwe afspraak te maken.


Met vriendelijke groet,

Marie Hartelman
Uiteraard dat je niet kan bellen, en een word formulier moet downloaden maakt het verdacht!
Hoeveel mensen gaan daar weer niet intrappen?
één van mijn klanten had dus prijs, medewerker clickt op link of attachment en prijs
wimpie3
Premium Member
Premium Member
Berichten: 491
Lid geworden op: 22 dec 2004, 14:17
Uitgedeelde bedankjes: 5 keer
Bedankt: 54 keer

Dat is dan toch op een werkstation waar geen recente Windows updates opstaan mag ik hopen?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

En welke virus scanner had je klant ?

Stonden zijn Word macro's dan actief voor "vreemde" documenten ?
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16729
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 574 keer
Bedankt: 770 keer

ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

r2504 schreef:En welke virus scanner had je klant ?

Stonden zijn Word macro's dan actief voor "vreemde" documenten ?
Geen idee, wij doen hun IT niet, wij leveren aan hen audio apparatuur.

Maar de CEO stond naast mij en vertelde dat ze de kassa / mail pc's van drie vestigingen offline hadden gehaald door die cryptolocker, er lag een vpn tussen de winkels en ze vreesden voor het ergste.
Gebruikersavatar
diepvries
Plus Member
Plus Member
Berichten: 176
Lid geworden op: 03 jan 2017, 13:40
Locatie: W-VL
Uitgedeelde bedankjes: 14 keer
Bedankt: 6 keer

Toch straffe verhalen altijd, cryptolockers zijn en blijven een actuele bedreiging zowel privé als professioneel.

Ik test de antivirus bij klanten op regelmatige basis en peper hen ook altijd goed in dat ze bij elke vorm van twijfel gewoon de mail moeten verwijderen. Als er echt een factuur dient betaald te worden of als er echt een pakje op komst is dan zal dat wel terecht komen.

En als je dan al getroffen bent is een back-up niet altijd 100% sluitend, hoe regelmatig werd de back-up genomen? zijn de NTFS rechten mee genomen? ...
:???: Orange LOVE 150Mbps
:???: Fortinet 60F + Linksys LGS116P + UCK G2 Plus + UAP AC Pro
:???: OVH VOIP + Gigaset C530IP
:???: iPhone 13 256 GB - Proximus Zen
:???: iPhone XR 64 GB - Orange Go Plus
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Simon963 schreef:Toch straffe verhalen altijd, cryptolockers zijn en blijven een actuele bedreiging zowel privé als professioneel.
In een professionele omgeving mag je ervan uitgaan dat ze een deftige backup hebben (en anders moet men maar op de blaren zitten)... dit is echter niet het geval bij de meeste privé personen en vaak gaan zo oa. kostbare documenten en foto's verloren.
Simon963 schreef:En als je dan al getroffen bent is een back-up niet altijd 100% sluitend, hoe regelmatig werd de back-up genomen? zijn de NTFS rechten mee genomen? ...
Daarom dat het belangrijk is dat je goede backup tools gebruikt... al zie ik hier vaak mensen zelfs voor professionele doeleinden (thuis doe je wat je wil) een browsel van eigen scripts en cloud services aanbevelen (om het zo goedkoop mogelijk te maken) die hieraan totaal niet voldoen.
Gebruikersavatar
diepvries
Plus Member
Plus Member
Berichten: 176
Lid geworden op: 03 jan 2017, 13:40
Locatie: W-VL
Uitgedeelde bedankjes: 14 keer
Bedankt: 6 keer

r2504 schreef:In een professionele omgeving mag je ervan uitgaan dat ze een deftige backup hebben (en anders moet men maar op de blaren zitten)...
Ik heb al bedrijven gezien met meer dan 1 vaste IT'er die er toch niet in slagen een sluitende back-up te hebben.
Mijn eerste vraag is altijd de volgende: "Wat als dit gebouw er nu niet meer is, wat doe je dan?"
En dan begin ik nog niet over het feit dat de meeste bedrijven hun back-up plan nooit echt testen...
:???: Orange LOVE 150Mbps
:???: Fortinet 60F + Linksys LGS116P + UCK G2 Plus + UAP AC Pro
:???: OVH VOIP + Gigaset C530IP
:???: iPhone 13 256 GB - Proximus Zen
:???: iPhone XR 64 GB - Orange Go Plus
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Ik heb weet van een bedrijf met bijna 500 miljoen euro omzet waarbij de mensen van het IT departement met servers in de handen naar buiten zijn gelopen bij een bedrijfsbrand...
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

En weet je wie daar verantwoordelijk voor is?
"We willen systeem x en y om extern te backuppen."
"Daar is geen budget voor."
Et voila.
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Voor alle duidelijkheid, ik wou niemand met de vingen wijzen. :wink:
En inderdaad, je moet budget krijgen maar langs de andere kant moet je ook een case kunnen bouwen om dat budget te verantwoorden.
Zomaar iets willen is te kort door de bocht, hoe dan ook, in bovenstaand geval zal een en ander wel duidelijk geworden zijn.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

tb0ne schreef:Ik heb weet van een bedrijf met bijna 500 miljoen euro omzet waarbij de mensen van het IT departement met servers in de handen naar buiten zijn gelopen bij een bedrijfsbrand...
Ik heb voor een grote PCI compliant speler gewerkt, daar hadden ze zelfs een apart gebouw enkele km's verder, zoals uit een oude jaren 60 film, met zelfs backup bureau's en oubollige vergarderzaal voor als er iets zou gebeuren met de hoofdvestiging.
gm123
Elite Poster
Elite Poster
Berichten: 1113
Lid geworden op: 08 maa 2009, 22:27
Uitgedeelde bedankjes: 63 keer
Bedankt: 116 keer

tb0ne schreef:Ik heb weet van een bedrijf met bijna 500 miljoen euro omzet waarbij de mensen van het IT departement met servers in de handen naar buiten zijn gelopen bij een bedrijfsbrand...
Maar wil dat dan zeggen dat ze geen backup hadden? Moest mijn kot afbranden dan ga ik ook niet alles laten afbranden met de gedachte "ach, ik restore de backup later wel" als ik mijn Synology nog kan redden. :-)
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

tb0ne schreef:langs de andere kant moet je ook een case kunnen bouwen om dat budget te verantwoorden
"Uwen business is failliet als we de data verliezen."
</end case> ;-)


Eerlijk?
Ik steek daar weinig tot geen energie meer in.
Als ze het nut van backups niet willen inzien kunnen ze op de blaren gaan zitten.

Als ze mij inhuren om de IT te doen, dan gaan ze er toch vanuit dat ik mijn job ken, mag ik hopen.
Als dat niet gaat, zoek dan een ander.

Ik ben als ITer een "stevige basis bouwer"; dat betekent dat waar ik kom, een stevige fundering uitgebouwd wordt waarop de IT kan draaien.
Dat wil zeggen backups, virtualisatie indien wenselijk (meestal wel), een goeie router, firewall, dual homed internet indien wenselijk (ook weer meestal wel, met de cloud tegenwoordig), en managed switchen (layer 3 gigabit in de core, layer 2 daarbuiten) om vlans uit te bouwen, wifi aps, een domein met fatsoenlijke policies, ...

Enfin, de organisaties die wel pcs op de desk willen, smartboards, beamers, etc etc etc, maar geen budget willen besteden aan de funderingen, daar verspil ik niet veel woorden meer aan.
"Een groot appartementsgebouw bouw je ook niet met houten funderingen in een zandgrond", zeg ik altijd.
vverbeke
Elite Poster
Elite Poster
Berichten: 935
Lid geworden op: 19 mei 2009, 11:31
Uitgedeelde bedankjes: 60 keer
Bedankt: 94 keer

Die van de transportfirma hebben we een tweetal maanden geleden ook eens gehad. De geestigaards aan het onthaal hebben de bijlage uiteraard geopend. Besmetting is gelukkig niet verder dan de pc geraakt. Toen was het trouwens een nieuw virus, doorgespeeld naar mcAfee, was nog onbekend en zat een dag later in de DAT files. Als het nog steeds hetzelfde virus is dat de ronde doet zou die dus allang gedetecteerd moeten worden. Office files met macro's worden hier trouwens by default tegengehouden door de spamfilter, maar mails met een link in zijn natuurlijk een ander verhaal.

Hier met GPO's trouwens het uitvoeren van exe's en nog een reeks andere bestanden geblokkeerd voor zowat alle locaties behalve deze waar legitieme software staat. Zoiets houdt al heel veel brol buiten. Want je mag je gebruikers nog opleiden gelijk zot, er is altijd één kieken die het bestand toch moet open doen en virusscanners, firewalls en andere malware tools zijn geen absolute garantie dat alles wordt tegengehouden.

Wat betreft backups, iets wat veel sysadmins vaak vergeten: Uw backups laten wegschrijven in een folder waar de domeinadmin geen rechten in heeft. Backuptoepassing schrijft dat daar weg met zijn eigen user waar verder niks en niemand aan kan. Ik blijf ook bij mijn motto: "Geen backup is geen compassie".
@home: VDSL 100/35 • @work: fiber 200/200 + fiber 300/50 + cable 240/30
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

ub4b schreef:daar hadden ze zelfs een apart gebouw enkele km's verder, zoals uit een oude jaren 60 film, met zelfs backup bureau's en oubollige vergarderzaal voor als er iets zou gebeuren met de hoofdvestiging.
Zo gek vind ik dat niet?
Waar ik nu werk is dat ook en die plannen worden om de zoveel tijd ook echt getest: een batterij mensen moet dan binnen de tijd naar het andere gebouw en operationeel zijn
Hun bonus hangt er (oa) van af :)

En euhm... wij doen dat zelf ook.
Als ik een belangrijke meeting van thuis moet doen (in een andere tijdzone bv), regel ik altijd dat ik bij iemand anders terechtkan mocht mijn internet plots weigeren.
yaris
Premium Member
Premium Member
Berichten: 564
Lid geworden op: 14 mei 2004, 00:16
Uitgedeelde bedankjes: 16 keer
Bedankt: 34 keer
Recent bedankt: 1 keer

Vorig bedrijf waar ik werkte had prod en backup in dezelfde ruimte staan.
vverbeke
Elite Poster
Elite Poster
Berichten: 935
Lid geworden op: 19 mei 2009, 11:31
Uitgedeelde bedankjes: 60 keer
Bedankt: 94 keer

yaris schreef:Vorig bedrijf waar ik werkte had prod en backup in dezelfde ruimte staan.
:bang:

Wij hebben storage + ESX hosts op twee locaties staan, replicatie tussen beide. Backup staat op een derde locatie en we hebben nog een taperobot op een vierde locatie. Toegegeven, ik heb niet te klagen qua budgetten en we hebben voldoende locaties en eigen fiber om dit allemaal geregeld te krijgen.
@home: VDSL 100/35 • @work: fiber 200/200 + fiber 300/50 + cable 240/30
Gebruikersavatar
diepvries
Plus Member
Plus Member
Berichten: 176
Lid geworden op: 03 jan 2017, 13:40
Locatie: W-VL
Uitgedeelde bedankjes: 14 keer
Bedankt: 6 keer

Ik heb de laatste tijd ook veel meldingen gekregen van een nieuwe mail die de ronde doet, gaat over een valse factuur met externe link.
spam.png
:???: Orange LOVE 150Mbps
:???: Fortinet 60F + Linksys LGS116P + UCK G2 Plus + UAP AC Pro
:???: OVH VOIP + Gigaset C530IP
:???: iPhone 13 256 GB - Proximus Zen
:???: iPhone XR 64 GB - Orange Go Plus
vverbeke
Elite Poster
Elite Poster
Berichten: 935
Lid geworden op: 19 mei 2009, 11:31
Uitgedeelde bedankjes: 60 keer
Bedankt: 94 keer

En de .zip in de link in kwestie bevat een cryptolocker, opletten dus. Ik heb dat domein plan-technik.at op de blacklist gezet in onze antispam, heel wat collega's hier kregen de mail, telkens van dat domein. De url in uw voorbeeld is anders dan de mails die wij kregen, lastig te blokkeren dus tenzij je heel dropbox blokkeert.
@home: VDSL 100/35 • @work: fiber 200/200 + fiber 300/50 + cable 240/30
Gebruikersavatar
diepvries
Plus Member
Plus Member
Berichten: 176
Lid geworden op: 03 jan 2017, 13:40
Locatie: W-VL
Uitgedeelde bedankjes: 14 keer
Bedankt: 6 keer

Ja ik plaatste de @plan-technik.at ook op de blacklist maar morgen is dat waarschijnlijk al weer aan ander domein... :cop:
Staat momenteel nog niet op een blacklist alvast https://mxtoolbox.com/SuperTool.aspx?ac ... n=toolpage#
:???: Orange LOVE 150Mbps
:???: Fortinet 60F + Linksys LGS116P + UCK G2 Plus + UAP AC Pro
:???: OVH VOIP + Gigaset C530IP
:???: iPhone 13 256 GB - Proximus Zen
:???: iPhone XR 64 GB - Orange Go Plus
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Simon963 schreef:Ik heb de laatste tijd ook veel meldingen gekregen van een nieuwe mail die de ronde doet, gaat over een valse factuur met externe link.

spam.png
ook gehad

Als je factuur krijgt van partij waar je geen zaken mee doet, waarom in godsnaam openen .....?
Ik begrijp de domheid van sommig personeel niet.
Gebruikersavatar
diepvries
Plus Member
Plus Member
Berichten: 176
Lid geworden op: 03 jan 2017, 13:40
Locatie: W-VL
Uitgedeelde bedankjes: 14 keer
Bedankt: 6 keer

Ik ga die mail eens namaken en een script achter de link steken die hun gebruikersnaam wegschrijft naar \\SERVER\HIDDEN\geklikt.txt, zo kan ik zien wei er allemaal op de link klikt. :angel:
:???: Orange LOVE 150Mbps
:???: Fortinet 60F + Linksys LGS116P + UCK G2 Plus + UAP AC Pro
:???: OVH VOIP + Gigaset C530IP
:???: iPhone 13 256 GB - Proximus Zen
:???: iPhone XR 64 GB - Orange Go Plus
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Nu ook fake facturen via dropbox, net weer zo'n mail zien passeren
Bijlagen
scum-uitschot-cybervuil.png
vverbeke
Elite Poster
Elite Poster
Berichten: 935
Lid geworden op: 19 mei 2009, 11:31
Uitgedeelde bedankjes: 60 keer
Bedankt: 94 keer

Wordt intussen vanaf verschillende domeinen verzonden. Mails met urls die dl.dropboxusercontent.com bevatten vliegen eruit in de spamfilter vanaf nu.
@home: VDSL 100/35 • @work: fiber 200/200 + fiber 300/50 + cable 240/30
Gebruikersavatar
warriorPrincess
Starter
Starter
Berichten: 1
Lid geworden op: 07 maa 2017, 12:48
Uitgedeelde bedankjes: 5 keer

Ik lees net een artikel over crypt0l0cker! http://cookieverwijderen.nl/ransomware/crypt0l0cker En nu, hier op het forum. Het ziet eruit als een grootschalige aanval ))) :cop:
Argon
Elite Poster
Elite Poster
Berichten: 1265
Lid geworden op: 21 mei 2007, 22:26
Uitgedeelde bedankjes: 20 keer
Bedankt: 49 keer

Ook al binnen gehad hier op het werk! Gelukkig wel deftige backup :-)
Volledig Dropbox werd op groepsniveau hier nu geblocked.
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

Als iemand DE oplossing heeft voor het decrypten.... even roepen aub!
CCatalyst
Elite Poster
Elite Poster
Berichten: 8274
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

axs schreef:Als iemand DE oplossing heeft voor het decrypten.... even roepen aub!
Welke cryptolocker is het? De aanpak hangt af van de precieze variant. Als je het niet weet, beschrijf dan de symptomen (welke extensies hij gebruikt, wat je eventueel van informatie ziet, etc).

Ik wil je wel waarschuwen dat "DE oplossing" voor een deel van da varianten helaas het aankopen van Bitcoin is.
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

CCatalyst
Elite Poster
Elite Poster
Berichten: 8274
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

"Transportvirus" mag dan wel de sensationele naam zijn die HLN erop plakt in hun drang naar clicks, maar dat is niet de naam van een gekende ransomware.

De vraag is dus welke ransomware, hier vind je bv enkele namen (maar deze lijst is niet volledig).
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

Hoe kan ik de naam te weten komen?
Koelreuteria
Pro Member
Pro Member
Berichten: 403
Lid geworden op: 25 mei 2006, 01:30
Uitgedeelde bedankjes: 48 keer
Bedankt: 7 keer

En er zit weer een niet zo lief beestje op de loer:
http://www.zdnet.be/nieuws/191374/stone ... -schijven/
Plaats reactie

Terug naar “Algemeen Internet-Gebruik”