Video: How to protect Google Drive files from Ransomware? (Oktober 2024)
Ikke alle e-mail-baserede angreb ser ud til at komme fra familier med deponerede depoter, sælgere, der udråber mirakelmedicin, eller rederier, der minder dig om en levering. Nogle ligner ulykkelige personer, der leder efter et job. Og i denne økonomi kender vi alle mindst en person, der sender CV til alle de kender i håb om at få et interview.
Men som Cloudmark sagde i sin seneste indsendelse af Tasty Spam, "Bliv ikke fristet af uventede genoptagelser." De kan bide dig hårdt.
Cloudmark har for nylig set en ransomware-kampagne leveret i form af en falsk CV, sagde forsker Andrew Conway. Angrebet i sig selv er ikke ligetil, og opskriften må åbne den ondsindede fil flere gange, men den er stadig effektiv nok til, at mange ofre er blevet ramt.
Conway beskrev kampagnens forskellige trin:
Attack-e-mailen kommer fra en Yahoo! Mailkonto og har en fil, der hævdes at være vedhæftet CV. Conway påpegede de fire advarselsskilte i beskeden: det var en uopfordret meddelelse; afsenderen oplyste ikke et efternavn; CV blev sendt som en.zip-fil; og der er fejl i fejl i grammatik, tegnsætning eller stavemåde.
"En person, der virkelig indsender en CV, vil korrekturlæse deres arbejde, " sagde Conway.
Når modtageren åbner.zip-filen, finder han eller hun en html-fil med et navn som resume7360.html . Det faktum, at CVen er i.html-format, er et andet rødt flag, i betragtning af at de fleste CV'er sendes som tekst-, PDF- eller Word-dokumenter. "Selvfølgelig er det en dårlig ide at åbne uopfordrede PDF- og Word-filer også, " sagde Conway.
En prøve af angrebs-HTML-filen ser sådan ud:
Når modtageren forsøger at åbne filen, ville browseren forsøge at indlæse url'en i IFRAME-tagget. "Det er det samme som at tvinge brugeren til at klikke på et link, " sagde Conway og bemærkede, at linket i dette tilfælde peger på en kompromitteret webserver. Webadressen indlæser endnu en HTML-fil, der har et omdirigeringslink, der peger på et Google Docs-link.
Omdirigering bruger et meta-opdaterings-tag, der typisk bruges til at opdatere indholdet af en webside i realtid. En meta-opdatering til en webside på et andet domæne er normalt ondsindet. De fleste mennesker vil bruge HTTP-omdirigering eller JavaScript til at udføre dette, ikke en meta-opdatering. Bare for dine oplysninger ser HTML'en fra den kompromitterede destinationsside sådan ud:
Google Docs-linket downloader en anden zip-fil kaldet my_resume.zip, og det indeholder en fil med et navn som my_resume_pdf_id_8412-7311.scr . "En fil tilfældigt downloadet fra Internettet. Fare, Vil Robinson!" sagde Conway.
.Scr-suffikset er til Windows-skærmbesparere, men de er i det væsentlige specielt formaterede eksekverbare filer til Windows..Scr-udvidelsen bruges ofte til at levere malware til intetanende brugere. Når offeret åbner.scr-filen, udløser det ransomware. Alle deres filer er krypteret, og de får en regning på hundreder af dollars for at få dem tilbage igen.
Conway rejste et interessant punkt om denne ransomware-kampagne. Angriberen måtte tage så mange indviklede trin, fordi moderne antivirus- og spamfiltreringsværktøjer er effektive nok til, at den eneste måde at få succes er at kæde sammen flere trin for at omgå forsvaret. Hvis du har lyst til at hoppe flere hoppos bare for at se en CV, bør det være en advarsel om, at noget er galt. Måske er personen bag e-mailen ikke rigtig interesseret i et job.
