Email malicieux - Ransomware Locky

[Malekal_morte]

Un des mails utilisés aujourd'hui, se faisant passer pour dlm.fr
une société de location de véhicule.

L'objet du mail : duplicata de factures
la pièce jointe : image2016-03-15-4414.zip

[Malekal_morte]

Se reporter aussi sur l'actualité TrojanDropper:JS/Nemucod qui revient autour de ces campagnes d'emails malicieux utilisant des Trojan.JS.Downloader.

Avast! peut détecter certains des Trojan.JS.Downloader en JS:Agent-DTI [Trj]

[Malekal_morte]

Les campagnes reprennent de plus belles avec des emails images :

Ransomware_Locky_email_malicieux_image.png

Avast! bloque la plupart des fichiers avec une détection FileRepMalware :

Ransomware_Locky_Avast_FileRepMalware.png

Ransomware_Locky_Avast_FileRepMalware2.png

[Malekal_morte]

Certains JavaScript malicieux sont aussi détectés en JS:Locky par Avast!

[Malekal_morte]

Les campagnes d'emails malicieux sont toujours violentes





Avast! détecte les javascript malicieux en Other:Malware-Gen [Trj]

[Malekal_morte]

Les campagnes utilisent depuis hier des fichiers au format RAR renfermant toujours le Trojan.JS.Downloader
Ces derniers tentent de faire croire que le mail a été envoyé depuis un iPhone avec la mention "Sent from my iPhone"


Ce matin ce sont des mails de fausses factures ALFI.
Sujet du mail :

ALFI : Facture client N° FC_2459085 du 30/03/2016

Bonjour,

Veuillez trouver ci-joint la facture pour le renouvellement de votre antivirus.



Bonne réception

A.Morel

A.L.F.I.

ZA de la MAIE

et aussi de fausses mailling avec des emails comportant le sujet Emailing suivi du document joint.
Ces mailling tentent de faire passer des fichiers xls, tiff, jpg, qui s'avèrent être des fichiers ZIP.
Utilisation de la double-extension.

Your message is ready to be sent with the following file or link attachments:

list-290.xlsx


Note: To protect against computer viruses, e-mail programs may prevent sending or receiving certain types of file attachments. Check your e-mail security settings to determine how attachments are handled.
This email and any files transmitted with it are confidential and intended solely for the use of the individual or entity to which they are addressed. If you have received this email in error please notify the sender of this mail. Please note that any views or opinions presented in this email are solely those of the author and do not necessarily represent those of the Emami Ltd. Finally, the recipient should check this email and any attachments for the presence of viruses. Emami accepts no liability for any damage caused by any virus transmitted by this email.

A noter l'injection de fausses en-tête X-MXScan :

Return-Path: <[email protected]>
X-MXScan-Scan: Scanned by MxScan 2.7.501.0 for WIN-3EAMS8MV18J
X-MXScan-Msgid: 0272193875288163440646087024765_
X-MXScan-License: {Unregistered Version} Only for personal and non-commercial use. Commercial use is PROHIBITED and requires a license.
X-MXScan-AntiVirus: ClamAV devel-clamav-0.97-408-ge11f7cc/21435/Wed, 30 Mar 2016 17:06:48 +0530 [Clean]
X-MXScan-AntiSpam: KEYWORD [Pass], RDNSBL [Pass], URLBL [NA], SPAMASSASSIN [NA], DCC_CHECK [NA]
X-MXScan-SpamScore: 0
X-MXScan-ProcessingTime: 5.063 sec(s)
X-ME-Bayesian: 0.000000

[Malekal_morte]

Les campagnes continuent, cette fois-ci avec des emails se faisant passer avec des photos.
Les sujets sont :

image
picture
photos
pĥoto with u
my photo

Les pièces jointes en zip reprennent ces termes, on obtient des fichier du type : Photos(7).zip, image(12).zip etc.

[Malekal_morte]

Kaspersky a fait une entrée sur son blog concernant le ransomware Locky : Locky: the encryptor taking the world by storm, la France est en seconde place des pays les plus touchés :

[Malekal_morte]

Après plusieurs jours d’inactivité en France, les campagnes Locky repartent avec des mails de fausses factures. Pensez à protéger vos Windows des exécutions accidentelles de scripts avec MARMITON.

Objet :

Facture : 1985 corrigée

Corps du mail :

Cher Client,

Veuillez trouver en pièce-jointe, la facture de vos achats. SANS FRAIS DE TRANSPORT
Votre marchandise est partie et vous devriez la recevoir dans les prochains jours.

Si vous avez des questions, n'hésitez pas à nous contacter.

Cordialement,

BUVA SPORTS

[Malekal_morte]

La campagne du virus Locky est de retour en France avec des emails anglais : "Price List" et un "Attached Images".





Les URLs sont en clair dans le JavaScript



Quelques détections :

SHA256: 1473e8d217ff95edef6854eeb358d3bcb7dc70a97465efdb441226f12d6afdbe
File name: fiLNFmIBQIc.exe
Detection ratio: 4 / 55
Analysis date: 2016-04-27 13:01:42 UTC ( 3 minutes ago )

Antivirus Result Update
AegisLab Troj.Downloader.W32.Agent.loKP 20160427
Fortinet W32/Kryptik.EJXP!tr 20160427
McAfee-GW-Edition BehavesLike.Win32.Backdoor.dh 20160427
Qihoo-360 HEUR/QVM10.1.0000.Malware.Gen 20160427

SHA256: caa6e59e98c22a3f9159412a612ad170d2683640e1845afb6f533f279f5e6577
File name: mys3ks.exe
Detection ratio: 7 / 56
Analysis date: 2016-04-27 10:16:38 UTC ( 2 hours, 49 minutes ago )

Antivirus Result Update
AVware Trojan.Win32.Generic.pak!cobra 20160427
Baidu Win32.Trojan.WisdomEyes.151026.9950.9988 20160427
Bkav HW32.Packed.DAD6 20160427
McAfee-GW-Edition BehavesLike.Win32.Backdoor.ch 20160427
Qihoo-360 QVM20.1.Malware.Gen 20160427
Rising Malware.XPACK-HIE/Heur!1.9C48 20160427
VIPRE Trojan.Win32.Generic.pak!cobra 20160427

Avast! fait le job :


La connexion WEB wscript.exe peut-être détectée.


Windows Defender détecte certains en Ransom:Win32/Locky.A :



et en laisse passer d'autre :

[Malekal_morte]

Encore une grosse campagne de mails malicieux Locky aujourd'hui.
avec de faux mails "Attached Images" se faisant toujours passer pour des scanners Xerox etc.



De faux mails La crèche Les Rousses


et les habituels Invoice.



Un fichier d'instructions HTML _HELP_instructions.html est maintenant installé par le ransomware Locky.

[Malekal_morte]

Campagne du ransomware Locky toujours active ces derniers jours avec des emails

Changes in Your Booking
Actual Status on Your Balance
Unpaid Bill for Car Repair Service
Third Reminder - Outstanding Account
Your Amazon.co.uk order has dispatched

et encore et toujours des mails se faisant passer pour des scanners.

[Malekal_morte]

Un mail malicieux toutes les 5 minutes environ :

[Malekal_morte]

Les campagnes continuent.
Les binaires du Ransomware Locky sont hébergés sur des sites Magento piratés :

[Malekal_morte]

Les campagnes Locky continuent : JS/TrojanDownloader.Nemucod : Ransomware.