tisdag 23 maj 2017

PDF sprider ransomware i skuggan av WannaCry

Under fredagen den 12:e maj spreds WannaCry snabbt världen över. Den skadliga programvaran fick stor spridning och krypterade användarens filer för att kräva en lösensumma. WeCloud avslöjar nu en parallell attack där ransomware spreds via e-post i stor skala under samma period som WannaCry uppmärksammades.

Det är ännu inte bekräftat hur WannaCry initialt spreds. När ett Windows-system väl infekterats skannar WannaCry det lokala nätverket och sprider sig till andra enheter på nätverket över TCP-port 445 (Server Message Block / SMB) för att kryptera filer som är lagrade på dem och kräva en lösensumma i form av Bitcoins.



WeCloud, som dagligen skannar miljontals e-postmeddelanden, upptäckte under dagarna för WannaCry's framfart ett avvikande mönster i e-posttrafiken. Tusentals e-postmeddeladnen innehållande en skadlig PDF stoppades av WeClouds filter. Den totala mängden stoppad malware mångdubblades den 11:e och 12:e maj.

Den bifogade PDF-filen innehåller en DOCM-fil som, om användaren tillåter, startar ett makro som i sin tur laddar ner en krypterad fil, de-krypterar den och exekverar den. Programmet krypterar användarens filer och kräver en lösensumma om cirka 32.000 kr för att återställa filerna.



WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.

Läs också:

www.wecloud.se
info@wecloud.se