Neutrino Exploit Kit Requesting Encoded Binary Options

Eu realmente não tive tempo para analisar isso, então eu estou usando a análise de uma fonte anônima (obrigado) .. De. Kristina Preston Kerry. dfqslp Data. 11 de maio de 2015, às 12:56 Assunto. Detalhes do pagamento e cópia da compra TU9012PM-UKY Em 08/05/15 você solicitou detalhes completos de pagamento e cópia da compra. Consulte o documento no anexo. Quaisquer consultas Por favor, responda com suas perguntas e você receberá uma resposta rápida e qualitativa, logo que possível. Por favor, não hesite em nos escrever. Kristina Preston Brewin Dolphin Os nomes e referências mudam entre versões diferentes, mas em todos os casos há um arquivo DOC malicioso anexado. Este DOC tem uma estrutura incomum em que é um algum tipo de arquivo MIME contendo uma mistura de HTML e Base64-codificado segmentos. Minha fonte analisou que este downloads um arquivo VBS de Pastebin em pastebin / downloadiFsYQqTaj que então baixa algum tipo de binário de 91.226.93.14:8080/stat/get (Sobis, Rússia) Este binário tem uma taxa de detecção de 2/56 e de acordo com Para ferramentas de análise automatizada 1 2 comunica-se com: 46.36.217.227 (FastVPS, Estónia) Ele também cai uma DLL com um MD5 de f0d261147d2696253ab893af3d125f53 e uma taxa de detecção de 1/56. Lista de Bloqueio Recomendado: 46.36.217.227 91.226.93.14Leia este Revisão de sistema de renda rápida abrangente antes de cometer qualquer erro e gastar o seu duro ganhou em vão. Free Download Método de renda rápida Software8230 Método de renda rápida Revisão O que é um desejo de base 2 Uma opção binária é um arranjo bursal que concede você para adivinhar se o preço de mercado de um ativo vai montar ou languish dentro de uma idade indubitável tempo. As opções binárias são renovadas e fornecem ao comerciante a capacidade de restringir a Rapid Income Method Review benefício significativo, muito rápido. Quando o comércio começar Sua chamada começará assim que seus bitcoins forem recebidos pelo Samoshi Option salver (confirmações do aught são exigidas geralmente). Normalmente, isso é quase imediatamente depois de enviá-los. A opção Satoshi Option mantém o rastreamento de sua arenga bitcoin para as transações de entrada e mantém um controle constante deles. Quando é que a minha terminação comercial O seu tráfego terminará precisamente no ponto da expiração do desejo. Por exemplo, se você selecionou uma opção de 60 segundos, sua negociação limitará 60 auxílio depois que seus bitcoins foram aceitos e procedimento pelo servidor Opção Satoshi. O que conta como uma correta previsão / win Um prognóstico preciso é quando você corretamente prever que afastado o preço do activo se moverá. Ele deve se mover em uma direção precisa. Todos os outros resultados possíveis, contêm quando a estimativa não altera, é examinar uma perda. Quando eu recebo minha restauração (payout) Quando você acompanha um soothsaying de retificação, você permitirá que seu pagamento Rapid Income Method Scam quase que instantaneamente. O único impasse é a velocidade da rede peer-to-noble do bitcoin. Por que é 8216Trading Closed8217 Durante períodos de lentidão de tráfego (por exemplo, fins de semana), nós don8217t permitir que qualquer novos negócios. Isso também pode acontecer se nosso feed de dados nundinal for interrompido. Qualquer bitcoins enviado quando jobbing é inclosure será reembolsado imediatamente (menos o 0.0005BTC miner8217s cobrar). Uma previsão sem defeito é quando você exatamente presage que forma o sistema de excelência Rapid Income Method do ativo se moverá. Deve mover-se em um guia preciso. Todos os outros resultados da opção, concluir quando o preço não inovar, é considerado um detrimento. O primeiro escritório de tráfego desse tipo operando no escravo bitcoin escravo, Opção Satoshi, estreou em março de 2013. Similar ao Satoshi Rapid Income Method Software Dice plano de apostas, Satoshi Opção direto sem registro de conta e nenhuma informação interna essencial. Os pagamentos são pròxima instantâneos eo serviço é acessível de em qualquer lugar no mundo porque confia na corrente do bloco do bitcoin como a plataforma. Profissão máxima seis por bitcoin woo é geralmente definido em 0,25 BTC. Uma vez que os produtos gratuitos são negociados com valor aberto, os resultados da opção binária são confirmáveis. Ao contrário Rapid Income Method Trading System, o outro agente financiado bitcoin que contam em possuir plataformas, BeastOptions opera no terceiro vencedor partidário TRADOLOGIC venal plat, Rapid Income Method Download que fornece um extermínio frente personalizável que é um jackanapes, libertação de alto desempenho para a web - based ou plataforma móvel de negociação. Mais leigos fora dos EUA, straddle booleano estrangeiro são sacrifício por corretores pessoa, em vez de através de uma troca, e eles normalmente têm um pagamento fixo e risco. O agente de marcha sua receita a partir da discrepância de pagamento entre Rapid Income Method Free o que eles pagam para fora sobre a ocupação vencedora eo que eles coletam de perder o comércio. Rapid Income Method Trading System Na Nadex você pode negociar base 2 desejando e difuso para assumir uma posição de risco circunscrito em movimentos de excelência em forex, futuros de benefícios e mercados de futuros forefinger direito, bem como eventos Bitcoin e econômica. Binary corrupt permite que você tome uma postura 8216yes8217 ou 8216no8217 nesses valores, com um limite de lucro ou danos definidos com precisão. Como um EUA-apoiado CFTC-regulamentado, Nadex dar comerciantes com produtos inovadores em um ambiente transparente, confiante. O vestíbulo do Bitcoin em Rapid Income Method, o mundo dos pagamentos digitais, abriu caminho para que outras cripto-moedas emergam também. E se você vê ou não, a vinda de Bitcoin é tão lúcida quanto o sol. Brevemente, Bitcoin se tornará um interesse e uma convencionalidade convencional de moeda que as pessoas podem extensivamente hábito de pagar por qualquer uma de suas compras. Enquanto um espectrómetro de opções de estrelas duplas Bitcoin tem um legítimo no trabalho, Rapid Income Method Works (predicado) licença negligente de onde se baseia, os investidores podem ter certeza de que todas as atividades de negociação são 100 regulados. Para os operadores do plano Bitcoin, a maioria deles tem emissão de licenças na Costa Rica, Europa Oriental e na Cidade do Panamá. Seu comércio limitar-se-á exatamente no ponto de expiração da preferência. Por exemplo, se você selecionou uma opção 60 inferior, o seu tráfego Rapid Income Method Register irá exterminar o auxílio após o seu bitcoins foram reconhecidos e avançar pelo Sobreshi opção salver. Se você provavelmente iria investir em algo que vai lhe dar alta recompensa em investimentos em um período de tempo inadequado, em seguida, considerar jobbing escolha estrela dupla. Você Mr. t quer comércio construir também, mais estrela binária desejando corretores entender curto Rapid Income Method Register yz para permitir que os comerciantes para obter um teste de como o seu negócio base-2 plataformas contrato. Como funciona Quando você compôs uma mochila, Satoshi Option programaticamente nomear um singular, chattel, bitcoin bolso tato para seu uso exclusivo. Satoshi Opção publica este tribunal diretamente para a sua escola navegador lhe atribuir a infligir reserva para esse endereço. Uma vez que os seus fundos cheguem à sua factura da Opção Satoshi, pode fazer o tráfego com aqueles directamente sobre a situação utilizando a nova interface de utilizador. Rapid Income Method Join Como tal, você não mais necessidade de enviar bitcoins cada período você mate uma ocupação, apenas o primeiro atraso. Ao trabalhar com um corretor binário straddle, os investidores estão realmente trabalhando contra esse corretor. Significado, quando os investidores compelir um melhorar, o agente de opções binárias entretanto desperdiçar espécie. Assim, a preferência dyadic jobbing é tanto um vestment e uma forma de jogar como bitcoin Rapid Income Method Inscrever-se stoker ou bitbox desporto saife é, também. Os riscos que você vai contestar quando corrupto em dois desejos são os seguintes: perigo de mercado, fixo melhorar, plena probabilidade de detrimento, ilíquido e não regulamentado (bem, a maioria dos agentes são). Uma vez que o tráfego pode mover-se em uma direção diferente sem qualquer aviso, base-2 predições desejando não pode ir estritamente como diagrama ou como analisado. E mesmo se o mercado identificar exatamente o movimento que você diz, o barato é ganho estável expressivo, você recebe um valor fixo, mesmo se o corretor faz mais de seu vestment. Uma opção de dualidade é uma bursal Rapid Método de Renda Inscrever-se instrumento que permite que você soothsay se o custo de mercado de um ativo vai se aposentar ou afundar dentro de um determinado ritmo período. Desejo binário são não gasto e prever o comerciante o endereço para fazer um lucro momentoso, muito rapidamente. Método de Renda Rápida revisão scam revisão de software do sistema download gratuito opções binárias funciona funciona negociação melhor negociação opção binária negociação de software automático auto negociação opiniões de software comerciante de automóveis como funciona juntar inscrever app juntar opções binárias sistema de negociação Rapid Income Method revisão melhores opções de negociação opções de espionagem Negociação opções binárias revisão comerciante automóvel binário. Bem-vindo ao Neutrino Profit App Software Review. Devido à crescente vulgaridade de base desejando, eo ser de decepção, há um discernimento enxuto por mais parentes vai como este sinal de trabalho Neutrino Lucro Profissional Neutrino Profit App Software App Review emprego. É impossível ajustar o booleano straddle como ele pediria acompanhamentos os movimentos do thriftiness de humanidade. Em uso para encontrar a sucessão, você pobreza a rede que a estrela dupla corrompida não é tão superficial quanto o desejo Resultado A ou Resultado B. Contrário a essa confiança ordinária, os peritos de base sempre notificam que a ocupação só deve ser realizada após a análise out-and-out . FairBinaryOptions não é licenciado nem acreditado para fornecer sugestão no Neutrino lucro App Scam investimento e disse material. Clientes sem bolsa adequada devem procurar admoestação especial de uma ascensão acreditada. Devido a isso, seu pior para levar a sua corrida de tráfego conservadoramente. Aprenda o princípio fundamental, e mantenha a extremidade dos métodos diferentes ao interesse quando corrupt. Seu provável para quase qualquer um começar o tráfego dois contrato. A exploração passada não é garantia de futuro. As informações no site não são, nem devem ser realizadas como recomendação de investimento. Posso testemunhar essa preferência de estrela binária sem brincadeira. Todo o banco é moral, assim que os comerciantes podem julgar as estratégias, o instrumento do pódio, ea propriedade variável do app do lucro de Neutrino e o exemplo do venal na estação real da oportunidade. Neutrino Profit App avaliações Binário Neutrino Profit App System straddle jobbing tailzie perigo importante e há uma possibilidade de que os clientes perder todos os seus selos vestir. Você deve ter uma base para a fabricação suas decisões, e pelo menos alguma erudição de como eventos distintos podem supremacia o tráfego e encorajar uma deriva. No entanto, sua ansiedade para reexaminar o complexo jeopard, e atualizar que, enquanto você pode ver melhorar rapidamente, sua opção também para ver perder se. Aqueles que escritório expressão imperfeita propagação inclinação Neutrino Profit App Trading System ocupação secundária são jogar perguntar nunca há dados qualitativos suficientes para positivamente soothsay bazaar movimentos tittle para. A seleção binária está absolutamente relacionada ao tráfego de mundos. Antes de determinar a vocação, você deve cuidadosamente estimar seus objetivos de vestimentas, claro de encontro e craving risco. Às vezes, os comerciantes ficam indignados e fracasso de pagar a quantidade de doação tão rápido quanto a possibilidade, e optar por corrupção compulsória. Este site é descontrolado de agente booleano moldado sobre ele. Não misturou o straightforwardness do tráfego alternativo dobro do tráfego da estrela com seu ser simplistic em toda a beleza. Confira nosso up-to-begin retraz Donzel Neutrino Profit App Software onde desejamos o Top Regulated Binary Options Brokers geralmente no bazar. Reivindicações de investimentos de cubo em moeda et al ter grupo de pessoas para estes agente on-line sem gastar alguma ciência de repetição os fundamentos mesmo. O mercado tem sua própria qualidade, autoridade e períodos de volatilidade e estagnação. Alguns mantêm que o tráfego de contrato de base, gosto ordenado jogo, pode inclinação mola. Tal jobbing transporte maneira reduzir o perigo, e diminuir a possibilidade de venal sensacional ou artificial. Sob nenhuma circunstância devemos ter qualquer Neutrino Profit App Download responsabilidade para qualquer hipóstase ou existência de qualquer lesão ou mal em todo ou parte da fonte por, surgir de ou recitar a quaisquer transações narradas para Opções Binárias ou b qualquer sincero, secundário, particular , Qualquer indenização importante ou atual. Neutrino Profit App Download Grátis Bem, quando se trata de dyadic wish jobbing, demo relação é o seu bare-bones manual. Educar-se tocando estrela binária straddle e como eles dever, bem como como o bordado de propriedade implícita, antes de começar a inventar. Ankit June. Em Am 8211 ReplyBinary preferência corrupt poderia ser tão legit como qualquer outro canal de vestment mas o dipsas-anoint shopman aproximado por anunciantes amp ally tem substituir a noção. Um maior aumento Neutrino Profit App Livre do meu lucro é online venal dupla estrela amp forex. Mencionamos seguir um agente de descarte da UE se você mora dentro da União Europeia. Comerciantes experientes negociarão todos que venal deve sempre ser equipado e gelid-kerned. As informações sobre FairBinaryOptions não devem ser versados ​​como um conselho para escolha de estrela binária de escritório. One Touch escolha, por outro lado são opções de alto rendimento. Ao negociar usando a regra One Touch, você deve ser indubitável que a recompensa do recurso Neutrino Profit App. Com você investiu em vai suavizar ou mesmo. Overtop a taxa prevista enquanto o comércio ainda está vivo. Caso contrário, o montante investido será desperdiçado. O principal vantajoso de segunda mão, como Does Neutrino Profit App Works trabalho método é que o relógio de expiração geralmente se espalhou até um neptad tão há muito atraso para a recompensa para chegar a um cenário de afeição. Existem basicamente dois tipos de corretores de opções de dualidade Bitcoin: (Tipo 1) Os que utilizam o Bitcoin como o único meio de Neutrino Profit App Register exchange e (Tipo 2) aqueles que usam o Bitcoin como o ativo subjacente. Tipo 1 Bitcoin Binary Option Brokers são aqueles corretores que especificamente comércio para Bitcoins. Se você tem Bitcoins, você vai querer negociar usando o corretor Tipo 1, de modo a defender a sua privacidade. Para diminuir o risco de seleção venal dois, você indigência para escolher um corretor de opções binárias que já tem uma reputação de contribuir custo de proteção e iria impedir obstáculos suas perdas. Faça seguro que você realmente gosta Neutrino Profit App App os agentes dais e avail / características antes de desempenho com ele ou ela. Desta forma, você terá a confiança de trocar duas opções sabendo que você pode guiar o perigo que vem com ele. A maioria dos comerciantes pode tomar e enganar bitcoins. Alguns são ainda circunspecto, mas muitos são agradáveis ​​aproximadamente o earnestness recente. Você pode acompanhar Bitcoin sem o risco que parece complicar Agora, você pode. Gama venal, às vezes designado verge alternativa, é outro binário Neutrino Profit App Junte negociação de privilégios significa que a forma orgulhosa render em toda a prestação justa. Fatiga do tráfego da escala apostando o dinheiro com uma escala de preço eliminada ou os limites. O investidor ou escolhido se a excelência vai bater dentro ou fora dos limites da taxa. Os investidores vão lucrar ou resíduos Neutrino Lucro App Inscreva-se o investimento na data de vencimento dependem se o preço abrandar ou não tocar um dos limites de ajuste. Perguntas freqüentes Como faço uma negociação Envie a quantia bitcoin Neutrino Profit App Opções binárias que você gostaria de vestir no instante apropriado da bitcoin no site da opção Satoshi. Neutrino Profit App revisão scam software de sistema opiniões download gratuito opções binárias funciona funciona como funciona juntar inscrever app juntar opções binárias opções de negociação opções de espionagem opções binárias de negociação revisão binário auto comerciante opções negociação melhor negociação opção binária auto trading software auto trading software opiniões auto comerciante Sistema de comércio Neutrino Profit App revisão melhor. Posts recentes Comentários recentes Este spam leva a Locky ransomware: De rosalyn. gregorygmail Data Qui, 29 Set 2016 21:07:46 0800 Assunto Recebimento 103-526 Eu não posso dizer se há qualquer texto do corpo, no entanto, há um anexo Receipt. xls que Contém código malicioso pastebin que, no caso da amostra que eu analise, faz o download de um binário de: Haverá muitos outros locais de download também. Análise automatizada 1 2 mostra que este é Locky ransomware chamando casa para: 89.108.83.45 / apachehandler (Agava, Rússia) 91.200.14.93 / apachehandler hostname: ef4bykov. example (SKS-LUGAN, Ucrânia) xpcwwlauo. pw/apachehandler hostname: vjc. Kz 91.234.33.132 (FOP Sedinkin Olexandr Valeriyovuch aka thehost. ua, Ucrânia) Uma DLL maliciosa é descartada com uma taxa de detecção de 6/57. Os IPs e domínios maliciosos se sobrepõem um pouco com este ataque anterior. Esta versão do Locky criptografa arquivos com uma extensão. odin. UPDATE - uma fonte indica que estas são todas as localizações de download neste ataque: Lista de bloqueios recomendada: 89.108.83.45 91.200.14.93 91.234.33.132 O anexo deste e-mail spam leva a Locky ransomware: From. Ambrose Clements Assunto. Data bloqueada temporariamente. Thu, 29 Sep 2016 13:37:53 0400 isso é para informá-lo que seu cartão de débito é temporariamente bloqueado como havia transações desconhecidas feitas hoje. Anexamos a varredura das transações. Confirme se fez essas transações. Anexado é um arquivo ZIP com um nome semelhante ao debitcard93765d0d7.zip contendo um script. WSF malicioso com um nome aleatório. Esses scripts (de acordo com minha fonte) são baixados de um dos seguintes locais: O malware decodificado, em seguida, telefona para casa para: 195.123.210.11/apachehandler hostname: by-f. org (Mobicom Ltd, Letônia) 91.200.14.93/apachehandler hostname: ef4bykov. exemplo (SKS-LUGAN, Ucrânia) 185.117.155.20/apachehandler nome_do_host: v-jc. pro (Marosnet, Rússia) xpcwwlauo. pw/apachehandler nome_host: vjc. kz 91.234.33.132 (FOP Sedinkin Olexandr Valeriyovuch aka thehost. ua, Ucrânia ) hostname gqackht. biz/apachehandler: vjc. kz 91.234.33.132 (FOP Sedinkin Olexandr Valeriyovuch aka thehost. ua, Ucrânia) bgldptjuwwq. org/apachehandler cxnlxkdkxxxt. xyz/apachehandler rcahcieii. work/apachehandler uxaoooxqqyuslylw. click/apachehandler vwktvjgpmpntoso. su/ apachehandler upsoxhfqut. work/apachehandler nqchuuvgldmxifjg. click/apachehandler ofoclobdcpeeqw. biz/apachehandler kfvigurtippypgw. pl/apachehandler toescilgrgvtjcac. work/apachehandler blocklist Recomendado: 195.123.210.11 91.200.14.93 185.117.155.20 91.234.33.132 Este Spam leva a Locky ransomware. A amostra que eu vi não tem corpo texto, mas tem temas no formato: Bill para documentos 31564-29-09-2016 Bill para parcela 08388-28-09-2016 Bill para artigos 657-29-09-2016 Cada assunto tem Um número aleatório acrescentado pela data. Anexado é um arquivo RAR com um nome similar ao Bill 657-29-09-2016.rar contendo um script. js malicioso que faz o download de um binário de um dos seguintes locais (de acordo com uma fonte confiável): O malware então telefona para casa Para os seguintes servidores: 194.67.208.69/apachehandler (Marosnet, Rússia) 89.108.83.45/apachehandler (Agava, Rússia) A detecção de carga útil para a versão analisada foi 16/56, mas pode haver uma carga útil atualizada até agora. Lista de blocos recomendada: 194.67.208.69 89.108.83.45 Quarta-feira, 28 de setembro de 2016 Este parece ser algum tipo de kit de exploração alavancando sites hackeados, por exemplo: donotclick franchidiscarpa / index --gt donotclick j8le7s5q745e. org/files/vipid4 Você pode ver este EK Infectando um site legítimo neste relatório URLquery. O endereço IP parece ser um cliente de ServerYou: OrgName: MegaHosterNetwork OrgId: MEGAH Endereço: Zaporozhskogo kazachestva 15 Cidade: Zaporozhzhe EstadoProv: Código Postal: 69097 País: UA Registo 2012-09-02 Actualizado em 2012-09-02 Ref: whois. arin / rest / org / Megah Esses outros domínios estão hospedados no mesmo IP: donotclick j8le7s5q745e. org donotclick 3wdev4pqfw1u. org donotclick fg1238tq38le Todos esses domínios são registrados para: Nome do Requerente: Sergey muromov Organização Registrant: Sergey muromov Registrant Rua: Veteranov 45-87 Registrant Cidade: sank-tpeterburg Registrant Estado / Província: leningradckaya Registrant Código Postal: 458223 Registrant País: RU Registrant Telefone: 7.66473838987 Registrant Telefone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: muromov96bk. ru Parece que pode haver Ser uma quantidade justa de atividade para o IP no momento, a julgar pelo número de relatórios URLquery, por isso pode muito bem valer a pena bloquear. É um daqueles dia em que eu havent sido capaz de olhar Lock muito, mas aqui está uma análise de locais de download de minha fonte confiável habitual. Locais de download binários: 176.103.56.98 / apachehandler (PE Ivanov Vitaliy Sergeevich aka xserver. ua, Ucrânia) 194.67.208.69 / apachehandler nome do host: billy676.myihor. ru (Marosnet, Rússia) 46.8.45.169 / apachehandler nome do host: grant. zomro (Zomro , Rússia) kgijxdracnyjxh. biz/apachehandler 69.195.129.70 (Joes Datacenter, EUA) rluqypf. pw/apachehandler 86.110.118.114 (Takewyn, Rússia) ehkhxyvvcpk. biz/apachehandler 45.63.98.158 (Vultr Holdings, UK) ufyjlxiscap. info/apachehandler kdbbpmrdfnlno pl / apachehandler jlhxyspgvwcnjb. work/apachehandler dceaordeoe. ru/apachehandler gisydkcsxosyokkuv. work/apachehandler mqlrmom. work/apachehandler wfgtoxqbf. biz/apachehandler ndyevynuwqe. su/apachehandler vgcfwrnfrkkarc. work/apachehandler blocklist Recomendado: 176.103.56.98 194.67.208.69 46,8. 45.169 86.110.118.114 45.63.98.158 Terça-feira, 27 de setembro de 2016 Este documento falso escaneado leva Locky ransomware: Assunto. Anexado: Digitalizar (70) De. Zelma (Zelma937victimdomain. tld) ​​Para. Vítima. Terça-feira, 27 de setembro de 2016, 14:15 Não parece haver nenhum texto do corpo. Minha fonte confiável me diz que o assunto é uma combinação das palavras Anexado / Copiar / Arquivo / E-mailing e Documento / Recibo / Digitalizar mais um número aleatório de dois dígitos. Anexado é um arquivo ZIP com um nome semelhante ao assunto, contendo um. wsf scriot malicioso. Este script, em seguida, baixa os componentes de um dos seguintes locais: A carga é locky ransomware, telefonando para casa para: 5.196.200.247/apachehandler (OVH, Irlanda / Just Hosting, Rússia) 62.173.154.240/apachehandler (JSC Internet-Cosmos, Rússia) uiwaupjktqbiwcxr. xyz/apachehandler 86.110.118.114 (Takewyn, Rússia) rflqjuckvwsvsxx. click/apachehandler 86.110.118.114 (Takewyn, Rússia) dypvxigdwyf. org/apachehandler 69.195.129.70 (Joes Datacenter, EUA) wababxgqgiyfrho. su/apachehandler ntqgcmkmnratfnwk. org/apachehandler ytqeycxnbpuygc. ru/apachehandler ocuhfpcgyg. pl/apachehandler cifkvluxh. su/apachehandler sqiwysgobx. click/apachehandler yxmagrdetpr. biz/apachehandler xnoxodgsqiv. org/apachehandler vmibkkdrlnircablv. org/apachehandler blocklist Recomendado: 5.196.200.0/24 62.173.154.240 86.110.118.114 Este Cliente da OVH parece estar registrado com detalhes falsos, e estão distribuindo malwares através de um bloco em 178.33.217.64 / 28. Atualmente, os seguintes IPs estão distribuindo algum tipo de kit de exploração não identificado: 178.33.217.64 178.33.217.70 178.33.217.71 178.33.217.78 178.33.217.79 Uma lista dos domínios associados a esses IPs pode ser encontrada aqui pastebin. OVH atribuiu o intervalo de IP a este cliente: organização: ORG-JR46-RIPE org-name: Jason Reily org-tipo: OUTRO endereço: 32 Oldfarm Road endereço: GB21DB Londres endereço: GB e-mail: ourbillsevolution-host abuse-mailbox : Ourbillsevolution-host telefone: 353.8429143 mnt-ref: OVH-MNT mnt-by: OVH-MNT criado: 2016-05-24T18: 16: 03Z última modificação: 2016-05-24T18: 16: 03Z fonte: RIPE Há Sem esse endereço em Londres, o código postal é, obviamente, inválido eo número de telefone parece ser um telefone móvel irlandês. Verificando o domínio evolução hospedeiro revela algo semelhante: Nome Registrant: OWEN Phillipson Organização Registrant: EVOLUÇÃO HOST Registrant Rua: 24 OLDFARM ROAD Registrant Cidade: LONDON Registrant Estado / Província: LONDON Código Postal Registrant: SW19 3RQ Requerente País: GB Registrant Telefone: 353,851833708 Registrant Telefone Ext: Registrant Fax: 44.7479012225 Registrant Fax Ext: Registrant E-mail: infoevolutionhost. co. uk ID do Admin do Registro: Novamente, um endereço inválido com um número de rua diferente de antes e um número de telefone irlandês. Nós podemos olhar para evolutionhost. co. uk também .. Registrant: Owen Phillipson Registrant tipo: Reino Unido Trader único Registrants endereço: 24 Oldfarm Road Londres Londres SW19 3RQ Reino Unido Validação de dados: Nominet foi capaz de igualar o nome de registrantes e endereço contra um terceiro Partido fonte de dados em 09-Fev-2014 Obviamente Nominets processo de validação isnt vale rato merda. O site do Evolution Host parece não ter detalhes de contato. RIPE associa a etiqueta ORG-JR46-RIPE com os seguintes intervalos de IP, todos alugados da OVH. Sugiro que você bloqueie todos eles: Um contato diz que o IP listado no início do post é o Neutrino Exploit Kit. Este spam tem um anexo malicioso que conduz a Locky ransomware: From. Loretta Gilmore Data. 20 de setembro de 2016, às 08:31 Assunto. Dados de acompanhamento Boa tarde redigida, Seu item 9122164-201609 foi enviado a você por transportadora. Ele chegará a você em 23 de setembro de 2016 ao meio-dia. Os dados de rastreamento (4fec25a8429fd7485c56c9211151eb42d59b57abf402cc363bc635) estão anexados. O nome eo número de referência dos remetentes variam. Attached é um arquivo. ZIP de nome aleatório contendo um script. js malicioso chamado no formato de dados de rastreamento js (o número hexadecimal é aleatório) mais um arquivo de lixo com um nome de letra única. A análise dos anexos está pendente. Análise híbrida de várias amostras 1 2 3 4 mostra o script de download de vários locais: Todos estes estão hospedados em: 178.212.131.10 (21 Century Telecom Ltd, Rússia) 95.173.164.205 (Netinternet Bilisim Teknolojileri AS, Turquia) O malware, em seguida, telefones Home para os seguintes locais: 91.223.88.205/data/info (Anton Malyi aka conturov, Ucrânia) 176.103.56.105/data/info (Ivanov Vitaliy Sergeevich aka xserver. ua, Ucrânia) 46.38.52.225/data/info (TCTEL, Rússia ) 195.64.154.202/data/info (Centro de Nomes de Internet ucraniano, Ucrânia) kixxutnpikppnslx. xyz/data/info 91.223.88.209 (Anton Malyi aka conturov, Ucrânia) Uma DLL é descartada com uma taxa de detecção de 13/57. Lista de Bloqueio Recomendada: 178.212.131.10 95.173.164.205 91.223.88.0/24 46.38.52.225 195.64.154.202 Este falso spam financeiro tem um anexo malicioso que leva ao Locky ransomware. Sujeito . Ordem: 28112610/00 - A sua referência. 89403 De. Melba lochhead (SALES1krheadshots) Data. Segunda-feira, 19 de setembro de 2016, 16:05 Obrigado pelo seu pedido. Segue-se a nossa confirmação de encomenda. Caso não consiga abrir os links no documento, você pode fazer o download gratuito da versão mais recente do Adobe Acrobat Reader através do seguinte link: www. adobe / products / acrobat / readstep2 Caso tenha mais dúvidas, não hesite em contatar mim. Melba lochhead Consultor de Vendas Interno - Peças Equipamentos de Manuseio de Material amp Acessórios SALES1krheadshots Tome nosso desafio de empilhadeira e plataforma de trabalho aéreo Identifique 10 marcas por suas máquinas. Seja o mais rápido e ganhe grandes prêmios Clique na imagem para iniciar o questionário. Eu só vi uma única amostra até agora, mas eu entendo que os números de referência e nomes variam. Anexado é um arquivo. DOCM mal-intencionado com um nome no formato OffOrd87654321-00-1234567-654321.docm. Minha fonte confiável diz que as várias versões baixar um componente de: Ele cai uma DLL que teve uma taxa de detecção moderada mais cedo. Esta versão do Locky não se comunica com os servidores C2, portanto, se você quiser bloquear ou monitorar o tráfego talvez você deve usar a string 67SELbosjc358. Este spam tem um anexo malicioso: From. Marla Campbell Data. 19 Setembro 2016 at 09:09 Assunto. Serviço expresso do pacote Caro expurgado, nós emitimos seu pacote pelo serviço expresso do pacote. O anexo inclui a data ea hora da chegada e as listas dos itens encomendados. Por favor, verifique-os. Obrigado. Anexado é um arquivo ZIP chamado aleatoriamente contendo um script. js malicioso no formato Express Parcel service js com um arquivo w de lixo que parece não conter nada. A análise híbrida de uma amostra mostra um local de download de: 178.212.131.10/z3zeg (21 Century Telecom Ltd, Rússia) Há provavelmente outros (post Ill se eu pegá-los). A carga útil parece ser Locky ransomware, telefonando para casa para: 195.64.154.202/data/info (ucraniano Internet Names Center LTD, Ucrânia) 46.38.52.225/data/info (TCTEL, Rússia) ajsrbomqrrlra. pw/info 91.223.88.209 (Private Pessoa Anton Malyi aka conturov, Ucrânia) Descarrega uma DLL com uma taxa de detecção de 8/54. Estes relatórios de análise híbrida de outras amostras 1 2 3 4 5 mostram outros locais de download em: roxieimshi / eppmn roxieimshi / y4lf1neg foveawaac / yjmaazj foveawaac / wzwzjply merofid / zn6mcj Todos esses domínios estão hospedados em IPs malignos: 178.212.131.10 (21 Century Telecom Ltd, Russia) 91.194.250.131 (Evgeniy Zbarazhskiy também conhecido como TOV Dream Line Holding, Ucrânia) Esses domínios são todos relacionados e devem ser considerados maliciosos: Lista recomendada: 195.64.154.202 46.38.52.225 91.223.88.209 178.212.131.10 91.194.250.131 A última Listados em itálico faz parte da atualização. Este tipo de spam scam de opções binárias vem em ondas de vez em quando: Assunto. Discurso de boas vindas. Jeffriesvxmail2nancy Data. Sexta-feira, 16 de setembro de 2016, 3:31 Estamos procurando funcionários trabalhando remotamente. Meu nome é Glen, sou o gerente de pessoal de uma grande empresa internacional. A maior parte do trabalho que você pode fazer em casa, ou seja, à distância. O salário é 2600-5500. Se você está interessado nesta oferta, por favor visite o nosso site Bom dia Não é muito interessante para dizer a verdade, mas depende de hacked sites WordPress, a fim de fornecer páginas de destino. Naturalmente, hackear o local dos someones para fazer isto é ilegal e nenhum negócio legitimate promoveria-se como este. O que eu notei foi o URL no e-mail. Inspiral Carpets Yup, thats o site da banda de Manchester rock do mesmo nome. Em vez de uma loja de tapetes. Como este relatório de URLquery mostra, aterra em .. cash-onlines 172.246.233.55 (Enzu, EU) Theres uma página de destino familiar .. Clicando o link vai para www. the-quantumcode hospedado em 31.220.0.35 (Terratransit, Países Baixos). Este é alguns bollocks sobre um robô de negociação de opções binárias que aparentemente fará milhões. Obviamente, isso é uma farsa, porque se fosse realmente tão fácil assim todos estarem fazendo isso. Um truque pouco scammy é um contador para dizer-lhe que cargas de pessoas estão olhando para o site, mas há apenas um pequeno número de slots disponíveis. Os números são completamente feitos. Se você olhar exatamente a mesma página em outra janela do navegador, eles são diferentes. É difícil dizer se o spam foi enviado por quem executa o site de opções binárias ou um afiliado. Mas ainda é uma porcaria. Hospedado no mesmo servidor são os seguintes domínios que são provavelmente mais do mesmo, mais uma carga de outras bollocks: Este falso spam financeiro leva a Locky ransomware: Subject. Fatura fiscal de. Kris Allison (Allison.5326resorts. mx) Data. Terça-feira, 13 de setembro de 2016, 11:22 Anexado é a fatura fiscal de sua empresa. Faça o pagamento de forma urgente. Best regards, Kris Allison The name of the sender will vary. Attached is a randomly-named ZIP file containing a malicious. wsf with a name beginning with taxinvoicescan PDF . According to my trusted source (thank you) the various scripts download a component from one of the following locations: adzebur/dsd7gk 37.200.70.6 (Selectel Ltd, Russia) duelrid/b9m1t 37.200.70.6 (Selectel Ltd, Russia) 78.212.131.10 (21 Century Telecom Ltd, Russia) 31.210.120.153 (Sayfa Net, Turkey) madaen/e3ib4f 143.95.252.28 (Athenix Inc, US) morningaamu/6wdivzv 192.3.7.44 (Virtual Machine Solutions LLC, US) 23.95.106.223 (New Wave Netconnect, US) 23.249.164.116 (Net3 Inc, US) smilehm/f72gngb not resolving The payload then phones home to: 91.214.71.101/data/info (ArtPlanet LLC, Russia) 51.255.105.2/data/info (New Wind Stanislav, Montenegro / OVH, France) 185.154.15.150/data/info (Denis Dunaevskiy, Ukraine / Zomro, Netherlands) 46.173.214.95/data/info (Garant-Park-Internet Ltd, Russia) 95.85.29.208/data/info (Digital Ocean, Netherlands) yofkhfskdyiqo. biz/data/info 69.195.129.70 (Joes Datacenter, US) khpnqbggoexgbyypy. pw/data/info 217.187.13.71 (O2 / Telefonica, Germany) nbrqrwyjbwcludpjj. click/data/info atjefykfsk. su/data/info dsvuclpoxbqmkdk. xyz/data/info bidmvvhwy. pl/data/info gfhstncbxtjeyhvad. work/data/info iyvrkkrpk. biz/data/info awqgqseghmwgulmyl. su/data/info hioknruwp. ru/data/info cucwonardfib. xyz/data/info vwcwpoksnfk. su/data/info Recommended blocklist: 37.200.70.6 91.214.71.101 51.255.105.0/28 185.154.15.150 46.173.214.95 95.85.29.208 217.187.13.71 UPDATE: further analysis gives these other IPs to block. This fake financial spam leads to Locky ransomware: From . Lauri Gibbs Date . 12 September 2016 at 15:11 Subject . Budget report I have partially finished the last months budget report you asked me to do. Please add miscellaneous expenses in the budget. With many thanks, Lauri Gibbs Attached is a randomly-named ZIP file which in sample I saw contained two identical malicious scripts: 921FA0B8 Budgetreportxls - 1.js 921FA0B8 Budgetreportxls. js The scripts are highly obfuscated however the Hybrid Analysis and Malwr report show that it downloads a component from: These are hosted on a New Wave Netconnect IP at 23.95.106.223. This forms part of a block 23.95.106.128/25 which also contained Locky download locations at two other locations 1 2 which rather makes me think that the whole range should be blocked. A DLL is dropped with a detection rate of about 8/57 3 4 which appears to phone home to: 51.255.105.2/data/info (New wind Stanislav, Montenegro / OVH / France) 185.154.15.150/data/info hostname: tyte. ru (Dunaevskiy Denis Leonidovich, Russia / Zomro, Netherlands) 95.85.29.208/data/info hostname: ilia909.myeasy. ru (Digital Ocean, Netherlands) 46.173.214.95/data/info (Garant-Park-Internet Ltd, Russia) 91.214.71.101/data/info (ArtPlanet LLC, Russia) Incidentally, the registrant information on the bad domains is also very familiar: Registry Registrant ID: Registrant Name: Dudenkov Denis Registrant Organization: Eranet International Limited Registrant Street: Lenina 18 Lenina 18 Registrant City: Vladivostok Registrant State/Province: RU Registrant Postal Code: 690109 Registrant Country: RU Registrant Phone: 85222190860 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: volosovikinbox. ru Registry Admin ID: Recommended minimum blocklist: 23.95.106.128/25 51.255.105.2 185.154.15.150 95.85.29.208 46.173.214.95 91.214.71.101 A list of the sites currently hosted on 23.95.106.128/25 and their SURBL ratings can be found here . This fake financial spam leads to malware: From . Ignacio le neve Date . 9 September 2016 at 10:31 Subject . Order Confirmation 355050211 -- This message is intended only for the individual or entity to which it is addressed and may contain information that is private and confidential. If you are not the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication and its attachments is strictly prohibited. The name of the sender and the reference number will vary. Attached is a file named consistently with the reference (e. g. Ord355050211.zip ) but an error in the MIME formatting means that this may save with a. dzip ending instead of. zip . Contained within the ZIP file is a malicious. HTA script with a random name (example ). This simply appears to be an encapsulated Javascript. Analysis is pending, my trusted source (thank you) says that the various scripts download from one of the following locations: The URL is appended with a randomised query string (e. g. abcdEfghZYXwvu). The payload is Locky ransomware has an MD5 of 5db5fc57ee4ad0e603f96cd9b7ef048a but I do not have a sample yet. This version of Locky does not use C2s, so if you want to block traffic then I recommend using the list above or monitoring/blocking access attempts with 7832ghd in the string. UPDATE: The Hybrid Analysis of one of the scripts does not add much except to confirm that this is ransomware. This fake financial spam leads to malware: Subject . Agreement form From . Marlin Gibson Date . Wednesday, 7 September 2016, 9:35 Roberta assigned you to make the payment agreement for the new coming employees. Here is the agreement form. Please finish it urgently. Best Regards, Marlin Gibson Support Manager The name of the sender will vary. Attached is a ZIP file named with a random hexadecimal sequence, containing a malicious. JS script ending with agreementformdoc. js and in the sample I saw there was also a duplicate.. 308F92BC agreementformdoc - 1.js 308F92BC agreementformdoc. js Automated analysis 1 2 shows that the scripts partly deobfuscated example attempt to download a binary from one of the following locations: Of those locations, only the first three resolve, as follows: donttouchmybaseline. ws 216.244.68.195 (Wowrack, US) canonsupervideo4k. ws 51.255.227.230 (OVH, France / Kitdos) malwinstall. wang 51.255.227.230 (OVH, France / Kitdos) The registration details for all those domains are the same: Registry Registrant ID: Registrant Name: Dudenkov Denis Registrant Organization: Eranet International Limited Registrant Street: Lenina 18 Lenina 18 Registrant City: Vladivostok Registrant State/Province: RU Registrant Postal Code: 690109 Registrant Country: RU Registrant Phone: 85222190860 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: volosovikinbox. ru Registry Admin ID: These are the same details as found here. We know from that incident that the download locations are actually spread around a bit: 23.95.106.206 (New Wave NetConnect, US) 51.255.227.230 (OVH, France / Kitdos) 107.173.176.4 (Virtual Machine Solutions LLC, US) 192.3.7.198 hostname: ns2.3arab (Hudson Valley Host, US) 216.244.68.195 (Wowrack, US) 217.13.103.48 (1B Holding ZRT, Hungary) The following also presumably evil sites are also hosted on those IPs: Currently I am unable to work out the C2 locations for the malware, which is probably Locky ransomware. In the meantime, I recommend you block : My trusted source (thank you) says that it phones home to the following IPs and URLs: 91.211.119.71/data/info (Zharkov Mukola Mukolayovuch aka 0x2a, Ukraine) 185.162.8.101/data/info (Eurohoster, Netherlands) 158.255.6.109/data/info (Mir Telematiki, Russia) 185.154.15.150/data/info (Dunaevskiy Denis Leonidovich aka Zomro, Ukraine) gsejeeshdkraota. org/data/info 188.120.232.55 (TheFirst-RU, Russia) sraqpmg. work/data/info balichpjuamrd. work/data/info mvvdhnix. biz/data/info 69.195.129.70 (Joes Datacenter, US) kifksti. work/data/info iruglwxkasnrcq. pl/data/info xketxpqxj. work/data/info qkmecehteogblx. su/data/info bbskrcwndcyow. su/data/info nqjacfrdpkiyuen. ru/data/info ucjpevjjl. work/data/info nyxgjdcm. info/data/info In addition to the IPs listed above, I also recommend blocking : 69.195.129.70 91.211.119.71 158.255.6.109 185.154.15.150 185.162.8.101 188.120.232.55 This fake financial spam has a malicious attachment: From . Tamika Good Date . 5 September 2016 at 08:43 Subject . Credit card receipt We are sending you the credit card receipt from yesterday. Please match the card number and amount. Sincerely yours, Tamika Good Account manager The spam will appear to come from different senders. Attached is a ZIP file with a random hexadecimal name, in turn containing a malicious. js script starting with the string creditcardreceipt A Malwr analysis of three samples 1 2 3 shows each one downloading a component from: This appears to be multihomed on the following IP addresses: 23.95.106.206 (New Wave NetConnect, US) 107.173.176.4 (Virtual Machine Solutions LLC, US) 192.3.7.198 hostname: ns2.3arab (Hudson Valley Host, US) 217.13.103.48 (1B Holding ZRT, Hungary) Of interest, the WHOIS details have been seen before in relation to Locky. They are probably fake: Registrant Name: Dudenkov Denis Registrant Organization: Eranet International Limited Registrant Street: Lenina 18 Lenina 18 Registrant City: Vladivostok Registrant State/Province: RU Registrant Postal Code: 690109 Registrant Country: RU Registrant Phone: 85222190860 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: volosovikinbox. ru Those reports indicate that a malicious DLL is dropped with a detection rate of 9/57. These Hybrid Analysis reports 4 5 6 show the malware phoning home to: 91.211.119.71/data/info hostname: data. ru (Zharkov Mukola Mukolayovuch aka 0x2a, Ukraine) 158.255.6.109/data/info (Mir Telematiki, Russia) 185.154.15.150/data/info (Denis Leonidovich Dunaevskiy, Ukraine) 185.162.8.101/data/info (Eurohoster, Netherlands) uxfpwxxoyxt. pw/data/info 188.120.232.55 (TheFirst-RU, Russia) The payload is probably Locky ransomware. Recommended blocklist: 23.95.106.206 107.173.176.4 192.3.7.198 217.13.103.48 91.211.119.71 158.255.6.109 185.154.15.150 185.162.8.101 188.120.232.55 This spam has a malicious attachment: Subject . old office facilities From . Kimberly Snow (Snow.741niqueladosbestreu) Date . Friday, 2 September 2016, 8:55 Attached is the list of old office facilities that need to be replaced. Please copy the list into the purchase order form. Best wishes, Kimberly Snow The name of the sender will vary. Attached is a ZIP file with a random hexadecimal number, containing a malicious. js script beginning with officefacilities plus another random hexadecimal number. Analysis is pending, but this Malwr report indicates attempted communications to: both apparently hosted on 66.85.27.250 (Crowncloud, US). Those domain names are consistent with this being Locky ransomware. According to this Malwr report it drops a DLL with a detection rate of 10/58. Also those mysterious. wang domains appear to be multihomed on the following IPs: 23.95.106.195 (New Wave NetConnect, US) 45.59.114.100 hostname: support01.cf (Servercrate aka CubeMotion LLC, US) 66.85.27.250 (Crowncloud, US) 104.36.80.104 (Kevin Kevin / Servercrate aka CubeMotion LLC, US) 107.161.158.122 (Net3, US) 158.69.147.88 (OVH, Canada) 192.99.111.28 (OVH, Canada) Recommended blocklist: 23.95.106.195 45.59.114.100 66.85.27.250 104.36.80.104 107.161.158.122 158.69.147.88 192.99.111.28 This fake document scan appears to come from within the victims own domain, but this is just a simple forgery. Attached is a malicious Word document. Subject . Scanned image from MX2310Uvictimdomain. tld From . officevictimdomain. tld (officevictimdomain. tld) To . webmastervictimdomain. tld Date . Friday, 2 September 2016, 2:29 Reply to: officevictimdomain. tld officevictimdomain. tld Device Name: MX2310Uvictimdomain. tld Device Model: MX-2310U Location: Reception File Format: PDF MMR(G4) Resolution: 200dpi x 200dpi Attached file is scanned image in PDF format. Use Acrobat(R)Reader(R) or Adobe(R)Reader(R) of Adobe Systems Incorporated to view the document. Adobe(R)Reader(R) can be downloaded from the following URL: Adobe, the Adobe logo, Acrobat, the Adobe PDF logo, and Reader are registered trademarks or trademarks of Adobe Systems Incorporated in the United States and other countries. www. adobe/ Attached is a. DOCM file with a filename consisting of the recipientss email address, date and a random element. There are various different scripts which according to my source (thank you) download a component from on of the following locations: The payload is Locky ransomware, phoning home to: 212.109.192.235/data/info hostname: take. ru (JSC Server, Russia) 149.154.152.108/data/info hostname: 407.AT. multiservers. xyz (EDIS, Austria) Recommended blocklist: 212.109.192.235 149.154.152.108 This spam has a malicious attachment. It appears to come from the sender themselves, but this is just a trivial forgery. Subject . Please find attached invoice no: 329218 From . victimvictimdomain. tld To . victimvictimdomain. tld Date . Thursday, 1 September 2016, 12:42 Attached is a Print Manager form. Format Portable Document Format File (PDF) This email/fax transmission is confidential and intended solely for the person or organisation to whom it is addressed. If you are not the intended recipient, you must not copy, distribute or disseminate the information, or take any action in reliance of it. Any views expressed in this message are those of the individual sender, except where the sender specifically states them to be the views of any organisation or employer. If you have received this message in error, do not open any attachment but please notify the sender (above) deleting this message from your system. For email transmissions please rely on your own virus check no responsibility is taken by the sender for any damage rising out of any bug or virus infection. Attached is a ZIP file containing a malicious. wsf script. According to my usual source (thank you) the scripts download from one of the following locations: The payload appears to be Locky ransomware. It phones home to: This is similar to the list here . Recommended blocklist: 5.34.183.211 212.109.192.235 95.85.19.195 188.127.249.0/24 91.223.180.0/24 This fake shipping email comes with a malicious attachment: Subject . Shipping information From . Charles Burgess Date . Thursday, 1 September 2016, 9:30 Our shipping service is sending the order form due to the request from your company. Please fill the attached form with precise information. Very truly yours, Charles Burgess The senders name will vary. Attached is a ZIP file with a random hexadecimal name, containing a malicious. js file beginning with a random sequence and endng with shippingservice. js . Automated analysis 1 2 3 4 of two samples sees the script downloading from the following locations (there are probably more than this): Between those four reports, there are three different DLLs dropped (VirusTotal 5 6 7 ). This Hybrid Analysis shows the malware phoning home to: 5.34.183.211/data/info hostname: take. cli (ITL, Ukraine) 212.109.192.235/data/info hostname: take. ru (JSC Server, Russia) 188.127.249.203/data/info hostname: it. ivanovoobl. ru (SmartApe, Russia) xattllfuayehhmpnx. pw/data/info 91.223.180.66 (FOP Sedinkin Olexandr Valeriyovuch aka thehost. ua, Ukraine) The payload is probably Locky ransomware. Recommended blocklist: 5.34.183.211 212.109.192.235 188.127.249.0/24 91.223.180.0/24Security Awareness Training Blog ALERT The FBI Warns That Ransomware Attacks Are Getting More Dangerous And Expensive In an alert published this week, the U. S. Federal Bureau of Investigation warned that recent ransomware variants have targeted and compromised vulnerable business servers (rather than individual users) and multiplying the number of infected servers and devices on a network. Powerful Ammo For Budget This FBI alert is powerful ammo for budget. It explains one more time what ransomware is, how fast it mutates, and that infections are skyrocketing. They explain what the potential losses are -- service disruptions, financial loss, and in some cases, permanent loss of valuable data -- and that it is challenging for the FBI to keep pace. I strongly suggest you send this link to the decision-making team that holds the infosec purse strings: www. ic3.gov/media/2016/160915.aspx Knowing that the FBI only have about 800 cyber agents, including just 600 agents who conduct investigations, the agency doesnt have the ability to address every attack, and must triage the most significant ones. You are on your own if the damage is less than a few hundred thousand dollars. FBI: Tell Us How Much Ransom You Have Paid The FBI is requesting victims reach out to their local FBI office and/or file a complaint with the Internet Crime Complaint Center, at www. IC3.gov, with the following ransomware infection details (as applicable): Sep 17, 2016 5:01:49 PM By Stu Sjouwerman Intel Securitys McAfee Labs Threat Report for September 2016 provides insight into the latest security statistics and trends, ranging from botnets to ransomware to malware zoos. Large companies (with more than 5,000 employees) on average have 31 to 50 data loss incidents per day, according to the study, which was released Sept. 14. Not surprisingly, financial services and retail companies have more data loss incidents than other industry verticals. Sep 17, 2016 8:06:13 AM By Stu Sjouwerman SecurityAffairs just published a new discovery that you need to know about. A Brazilian Infosec research group, Morphus Labs, just discovered a new Full Disk Encryption (FDE) ransomware strain this week, dubbed Mamba, a snake with a paralyzing poison. Sep 16, 2016 4:13:34 PM By Stu Sjouwerman In an alert published today, the U. S. Federal Bureau of Investigation (FBI) warned that recent ransomware variants have targeted and compromised vulnerable business servers (rather than individual users) and multiplyied the number of infected servers and devices on a network. Sep 16, 2016 10:36:57 AM By Stu Sjouwerman Heres an example of a highly targeted ransomware attack, with bad guys using a phony Bank of Montreal (BMO) template to social engineer possible victims into clicking on a malicious attachment. Chester Wisnewski, a Vancouver-based senior security advisor at Sophos Inc, said. Literally as I got on the plane I got what looked like a BMO phish, and in fact it was ransomware. It was amazing how well crafted it was because the Web site booby-trapped with the exploit is literally a carbon copy of the BMO online login landing page. Sep 14, 2016 11:31:44 AM By Stu Sjouwerman Intel Security today released its McAfee Labs Threats Report: September 2016. which assesses the growing ransomware threat surveys the who and how of data loss explains the practical application of machine learning in cybersecurity and details the growth of ransomware. mobile malware, macro malware, and other threats in Q2 2016. Sep 13, 2016 4:11:55 PM By Stu Sjouwerman We are seeing a big phishing wave with a social engineering attack that threatens with a personalized lawsuit using the domain name of the targeted victim. This is an interesting payload -- very sophisticated. You can wait a week or two and you will find ransomware added to this noxious package. Sep 12, 2016 5:27:54 PM By Stu Sjouwerman Kaspersky has a fascinating blog post on a new strain of ransomware called RAA that is not only fairly sophisticated, but incredibly abusive: Sep 12, 2016 9:42:39 AM By Stu Sjouwerman Sep 12, 2016 7:48:16 AM By Stu Sjouwerman Hard drive manufacturer Seagate was sued by its own employees as the result of a successful CEO fraud attack where all the personal information of 10,000 existing and former employees were stolen in an online phishing scam. Seagate lawyers defend the company claiming that the organization is not responsible for data leaks and that the attack was unexpected. Really Sep 12, 2016 7:22:41 AM By Stu Sjouwerman Larry Abrams at Bleepingcomputer reported on a new strain that raises some eyebrows. A new version of the Stampado ransomware called Philadelphia has started being sold for 400 USD by a malware developer named The Rainmaker, According to Rainmaker, Philadelphia is being sold as a low cost ransomware solution that allows any wannabe criminal to get an advanced ransomware campaign up and running with little expense or complexity. Sep 11, 2016 10:17:41 AM By Stu Sjouwerman We spotted an unusual phishing email which revealed a new scam your users will soon find in their inbox. Time to inoculate them before it becomes a problem Many online service providers like Microsoft, Google, Facebook, Twitter, and PayPal have adopted a policy to warn users via email when there is a possible security-related event like unusual sign-in activity. Copies of these emails have been used for credentials phishing for a few years, but the problem is these security notifications are now being used by bad guys as a new attack vector for a tech support scam. These new phishes point victims to a 1-800 number where either a scammer picks up, or the victim gets sent to voice mail hell for a while and their number is queued for a fraudulent follow-up call like the one below, which was sent to us by one of our customers -- who were well trained -- and did not fall for the scam. PS: KnowBe4 uses HubSpot to host our website and for marketing automation so that is where this download link points to. It is safe to click, entertaining and instructive: cdn2.hubspot/hubfs/241394/phonephish. mp3 So, I suggest you send the following to your employees, friends and family. Feel free to copy/paste/edit: Sep 10, 2016 11:01:39 AM By Stu Sjouwerman For the last 9 years I have been a board member of the public/private Clearwater Downtown Partnership. And as many public organizations, all the board member information is freely available through the website. So, some half-smart phishing scammer sent me a CEO fraud email, demanding I send money urgently to a bank account. It was clear as daylight checking the headers that it was a fraud. I decided to see how long we could keep that going, here is the whole email exchange blow-by-blow: Sep 10, 2016 9:55:51 AM By Stu Sjouwerman The following question was posted in the SANS Securing The Human forum. I thought it was a very good point and asked our VP Product Greg Kras for his perspective. First the question: Sep 10, 2016 9:21:34 AM By Stu Sjouwerman A customer sent us this: Hi, I wanted to share with you a funny story. My boss calls me into her office, very serious like. She sits me down and asks Did you use the company credit card without authorization I am very confused, although I have access, I would not order anything without asking. I am the only IT person at our workplace, so given the item ordered, she came to me. So I said No. what is it that you have a receipt for. and she shows me thisI nearly busted out laughing, but thought better of it and explained that this was a phishing message designed to get you freaked out and click. Thankfully she came to me without clicking it, so the training is working, but gosh, some of these really come back to me haha Name withheld to protect the innocent Sep 9, 2016 11:49:56 AM By Stu Sjouwerman KnowBe4 is looking for a few good people. Specifically we are hiring a QA Engineer and a Senior Ruby Developer. Know anyone Send them to our Jobs page on the website. KnowBe4 is 1 Tampa Bays Best Place To Work Warm regards, Stu Sep 9, 2016 7:29:48 AM By Stu Sjouwerman By Eric Howes, KnowBe4 Principal Lab Researcher. Yesterday we spotted an unusual phishing email that wed like to share with readers. If nothing else, it tells us that the increased security-related customer messaging adopted by many online service providers has paradoxically provided malicious parties of all kinds with new material to exploit when social engineering users. First, a bit of background, though. Sep 7, 2016 8:55:53 AM By Stu Sjouwerman The Tampa Bay Business Journal published an interview with FBI Special Agent Lawrence Wolfenden. Wolfenden is a 25-year veteran of the FBI. the lead agency for investigating cyber attacks by criminals, overseas adversaries and terrorists. Based in the Tampa office, hes part of the FBI cyber squad, and his team is tasked with addressing network intrusions of a criminal nature as well as potential threats to national security. Sep 6, 2016 3:20:31 PM By Stu Sjouwerman Microsoft recently came across a threat that uses social engineering but delivers a different payload than the usual Office document with macros. Its primary purpose is to change a users browser Proxy Server setting which could result in the theft of authentication credentials or other sensitive information. Sep 6, 2016 7:14:33 AM By Stu Sjouwerman Larry Abrams at Bleepingcomputer reported on a new strain with a few unusual features: A new ransomware that pretends to be from a fake organization called the Central Security Treatment Organization has been discovered by security researcher MalwareHunterTeam. When the Central Security Treatment Organization, or Cry, Ransomware infects a computer it will encrypt a victims files and then append the. cry extension to encrypted files. It will then demand approximately 1.1 bitcoins, or 625 USD, in order to get the decryption key. Sep 4, 2016 10:54:54 AM By Stu Sjouwerman The Smoking Gun reported: SEPTEMBER 2--The FBIs Hillary Clinton investigation turned up evidence that her e-mail accounts were targeted in multiple spear phishing attacks, one of which may have tricked the then-Secretary of State into clicking a malicious link included in the correspondence. An FBI investigative report released today includes a section on the cyber targeting of Clintons personal E-mail and Associated Accounts during her tenure at the State Department. Sep 1, 2016 5:15:25 PM By Stu Sjouwerman Want someones credentials Just social engineer them. Phishing is still responsible for 91 of data breaches and has been for the last few years. A Russian cyber mafia has created a website where just about any aspiring bad guy can generate a realistic-looking credentials phish and send it to whoever they want. This PHaaS site allows for potentially stealing the victims username and passwords with practically no technical knowledge. Fortinet published a blog post this Wednesday, and they provided details on this Russian-language site called Fake-Game. Sep 1, 2016 4:07:39 PM By Stu Sjouwerman KnowBe4 has been running the HackBusters site for a few years now, providing you with trending IT security news. We are expanding it and have launched a new exciting online community You are invided to be one of the first to join us at: discuss. hackbusters. co m. The forum is divided into four main topics or categories: Sep 1, 2016 8:02:02 AM By Stu Sjouwerman Earlier in August, one of the worlds largest cable manufacturers Leoni AG publicly confessed that it had fallen victim to a classic CEO Fraud attack that has cost the company a whopping 44 million dollars. Following two weeks of intensive investigations, new details surfaced and the thieves turned out to have used sophisticated social engineering tactics combined with email spoofing. The attackers crafted emails to appear like legitimate payment requests from the head office in Germany and sent them to a subsidiary of Leoni in Bistrita, Romania. By Eric Howes, KnowBe4 Principal Lab Researcher. This Monday morning many of our customers came in to work to find a rather rude surprise lurking in their inboxes: a massive Cerber ransomware campaign delivered through somewhat unusual phishing emails. Cerber is a sophisticated ransomware strain first seen back in March. It has undergone constant development since its debut 8220in the wild.8221 Cerber is also noteworthy inasmuch it is distributed via a Ransomware-as-a-Service (RaaS) model 8212 meaning, your users could encounter Cerber campaigns being run by a number of malicious actors through a variety of attack vectors. Although Cerber campaigns have been growing in size for several months now, the month of September was marked by several sharp spikes in Cerber activity, as documented by malware researchers. Monday 10/3/2016 saw the largest spike yet. We are stoked to announce the new integration with Active Directory The Active Directory Integration (ADI) helps you easily upload user data and eliminate manual updates by automatically synchronizing your AD user information with KnowBe4s platform. Once the ADI is configured, users will be added, changed and archived in sync with changes made within AD automatically. You can also upload users with CSV files. Great joint survey by CSO, CIO and ComputerWorld by Amy Bennett which is excelllent ammo to add to a budget request that needs to be approved by a C-level exec. Here8217s why: 8220If you sense some discontent in how information security is handled in your company, you8217re not alone. Half of the 287 U. S.-based IT and business pros who responded to a recent survey from CSO and its sister sites CIO and Computerworld gave their organizations8217 security practices a grade of C or below . We predicted that this would happen on September 23rd when the news broke that Yahoo lost 8220at least8221 500 Million credentials. Just for a change I8217m quoting myself here: 8220 Right, that is how it usually goes. This whole disclosure smells like a professional crisis-handling exercise. Later, after more breach-investigation, they disclose that more credentials were stolen and that more data (credit cards) was exfiltrated than was known at the time of the discovery .8221 Well, as expected it8217s worse. Much worse. Here is a ransomware horror story for you8230 An obscure 2-year old ransomware strain called Virlock has a nasty feature: it is capable of stealthily spreading itself via cloud storage and collaboration apps. That way just one infected user can unknowingly spread the infection further across your network, Netskope researchers discovered. Ransomware normally spreads through email phishing attacks, exploit kits, removable drives or external network shares. However, Virlock is a weird family of ransomware that not only encrypts files but also converts them into a polymorphic file infector just like a virus. Apart from infecting the usual documents and image related files, it also infects binary files. Yikes. Eastern European organized crime, not state-sponsored hackers, were behind the record breaking 2014 Yahoo data breach that exposed information about hundreds of millions of Yahoo user accounts, InfoArmor said Wednesday. The security firm found the stolen database while investigating into 8220Group E,8221 a team of five professional hackers. InfoArmor8217s claims dispute Yahoo8217s claim that a 8220state-sponsored actor8221 was behind the 500 million-record data breach. Day one, several security experts (including yours truly ) were skeptical of Yahoo8217s claim and were disappointed that the company isn8217t offering more details. The data that InfoArmor discovered contains only a few million accounts, and is apparently a subset, but it includes the users8217 login IDs, hashed passwords, mobile phone numbers and zip codes. InfoArmor said that although most of Group E8217s clients are skilled cybercriminals, they had at least one customer who was a state-sponsored actor. The stolen Yahoo database might have been used to target U. S. government officials. InfoArmor stated they got the data from 8220operative sources8221 about a week ago and verified that the account information is real. It looks like Group E has sold the stolen Yahoo database in three private deals, one of them was sold for at least 300,000. InfoArmor also claimed that Group E was behind high-profile breaches at LinkedIn, Dropbox and Tumblr. To sell that data, the team used other hackers, such as peaceofmind to offer the stolen goods on the darknet. When we talk with folks outside the security industry about what we see from the bad buys on a daily basis, we often get the response, 8220Wow That8217s really sneaky .8221 And it8217s true. The bad guys are nothing if not sneaky. Spoofed domains. Fake Paypal notices. Word documents loaded with macro-based malware tripwires. Malicious actors impersonating corporate CEOs. It8217s all very sneaky. This morning, however, we encountered a credentials phish (forwarded to us by an alert customer through the Phish Alert Button ) that brought a very different word to mind. That word is brazen . Vamos dar uma olhada. When No One is Looking The phish in question is a fairly straightforward credentials phish. It starts with this email: Of course everyone knows that hacking into a computer is a federal crime, and infecting a system with ransomware already falls into that bucket. However, Californias SB-1137. signed into law last Tuesday by Governor Jerry Brown, is the first one that specifically expands extortion laws to include ransomware.