2015-04-29 - Ítrekuð viðvörun vegna gangagíslatöku

Viðvörun vegna nýrrar bylgju af blekkingarpósti hérlendis sem inniheldur gagnagíslatöku óværu (e. ransomware).

Bylgjan er talin hafa skollið á um morguninn þann 27. apríl. Ekki hefur enn fengist nákvæmlega staðfest hversu mörg fyrirtæki hafa orðið vör við slíka pósta. Þó er vitað að sum fyrirtæki hafa orðið vör við fleiri tugi eða hundruð slíkra pósta frá því þessi hryna hófst.

Nánari lýsing: Póstar með sýktu viðhengi berast frá mismunandi póstföngum með breytilegu innihaldi og efnislínu. Þær skrár sem séðst hafa í viðhengjum eru:

  • .zip skrár
  • .cab skrár
  • .scr skrár

Ein eða fleiri af fyrrnefndum skrám getur verið pakkað inn í .zip skrá sem viðhengi.

Ekki hefur tekist að einangra mynstur í póstföngum eða upprunapunktum en sumir póstar innihalda svipaðar efnislínur, t.d.:

  • [Issue 52965D98CDAD6070] Account #422076553069 Temporarily Locked
  • [Issue 22107DF2F0658904] Account #644195622169 Temporarily Locked
  • Your account #47684820518 has been suspended
  • Your account #752169648581 has been blocked
  • Your account #320842126444 has been banned
  • [Elga LabWater] Copy from +07867-185644

Hakkasummur fyrir þessi viðhengi voru ekki þekkt frá fyrri tilvikum og því mjög ólíklegt að hefbundnar vírusvarnir stöðvi þessar skrár.

Æskilegt er að kerfisstjórar og aðrir sem bera ábyrgð á póstkerfum, fylgist sérstaklega vel með öllum póstum sem innihalda þessar tegundur af viðhengjum. Ráðlegt er að beita sóttkvíaraðferðum (e. quarantine proceedures) gegn þeim, ef við verður komið.

Netöryggissveitin CERT-ÍS fylgist með framvindu mála og hvetur þá sem hafa orðið varir við þessa pósta að tilkynna þá til sveitarinnar á póstfang hennar: "cert@cert.is". Fullum trúnaði verður gætt gagnvart þeim sem tilkynna um slíkt.