Ransomware fra Esso

Mange har det siste døgnet fått en e-post som tilsynelatende er fra Esso:

Screenshot from 2016-02-11 12:19:46.fikset

(Klikk på bildet for større versjon)

E-posten opplyser om at det er et forestående AvtaleGiro-trekk basert på en faktura.

E-posten er ganske utspekulert utformet ettersom den ikke oppfordrer til noen handling. Bakmennene vet imidlertid at de som ikke har tanket på Esso vil bli skremt og tro at noen har missbrukt deres personlige informasjon, og vil i “panikk” åpne vedlegget.

Dette vedlegget er en zip-fil med en exe-fil som innhold. Exe er filendelsen for kjørbare filer, og typisk en måte å spre virus. Den pakkes inn i en arkivfil (zip) for å unngå å så lett bli oppdaget av mailscannere/brukere.

En rask test av innholdet avslører at fila inneholder et ransomware-virus som krypterer filene dine og krever “løsepenger”. Se denne bloggposten for mer informasjon om ransomware-virus. Det er dessverre kun et fåtall av virusscannerne som kjenner det igjen som et virus, og det gjør dette ekstra skummelt:

screenshot-www.virustotal.com 2016-02-11 12-31-59

Resten av e-posten inneholder mange psykologiske grep for å gjøre e-posten mer virkelighetstro, ved at det f.eks. oppgis muligheter for å kontakte kundeservice osv. Teksten fremstår som god norsk.

Se også bloggposten om Posten-viruset for en lignende sak.

Husk å aldri åpne vedlegg av typen zip eller exe uten å være 100% sikker på at det er virusfritt. Merk deg at virusscannere ikke alltid finner helt nye virus.

På siden:
Flere har påpekt at domenenavnet essocardonline.com er registrert gjennom et firma kalt MARKMONITOR INC. På denne nettsiden ligger det et innloggingsskjema. Dette kan fremstå som en phishing-side, men mye tyder på at dette er den originale nettsiden. Bl.a. er nettadressen omtalt i dette dokumentet fra Exxonmobil:
 http://www.exxonmobil.com/Norway-Norwegian/PA/Files/ESSO_DieselExpress.pdf

 

 

 

 

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *


CAPTCHA Image
Reload Image