Hoe voorkomt u de installatie van malware via spam-mails over het coronavirus?
Geschreven door Tomas Meskauskas op (bijgewerkt)
"Coronavirus e-mail met virussen" - Verwijderingsgids
Wat is de "Coronavirus e-mail met virus(sen)"?
Er zijn veel varianten van deze spamcampagne waarbij cybercriminelen een misleidende e-mail sturen met de bedoeling de computers van hun slachtoffers te besmetten met kwaadaardige programma's zoals Agent Tesla, Emotet, LokiBot, Remcos, TrickBot, FormBook, Ave Maria, LimeRAT, CrimsonRAT en andere gevaarlijke malware. Ze sturen e-mails met een websitelink die is ontworpen om een schadelijk bestand of onbetrouwbare inhoud te downloaden of te openen (bijvoorbeeld phishing-sites) of een kwaadaardige bijlage weer te geven. Hoe dan ook, als ze worden geopend (uitgevoerd), dan installeren die bestanden in bijlage een bepaald kwaadaardig programma. We raden u aan om deze e-mails te negeren, want ze hebben niets te maken het eigenlijke coronavirus of informatie daarover.
Deze variant van de spamcampagne is vermomd als een e-mail van de Wereldgezondheidsorganisatie (WGO) over beschermende maatregelen tegen het nieuwe coronavirus. Het suggereert dat het bijgevoegde bestand of de opgenomen websitelink informatie bevat over hoe u kunt voorkomen dat Coronavirus zich verspreidt en hoe u besmetting kunt vermijden. De bijgevoegde bestanden of de bestanden die worden gedownload via de meegeleverde link, zijn echter ontworpen om een of andere malware te installeren. Zoals we in de inleiding al vermeldden, wordt deze coronavirus-spamcampagne gebruikt om allerlei kwaadaardige programma's te verspreiden. Hoe dan ook, het is zeer waarschijnlijk dat cybercriminelen die er verantwoordelijk voor zijn proberen computers te besmetten met een of andere trojan of ransomware. Ook zouden ze de coronavirus-campagne kunnen gebruiken om andere types malware te verspreiden. Meestal verspreiden ze trojans die zijn ontworpen om gevoelige informatie te stelen, zoals aanmeldingen, wachtwoorden, creditcardgegevens (of andere bankgegevens) of om achterdeurtjes te openen voor andere kwaadaardige software waarmee ze hetzelfde kunnen doen. Ransomware is een type software die bestanden versleutelt, zodat slachtoffers ze niet kunnen ontsleutelen zonder de hulp van een tool (of tools) die meestal alleen bij de ontwikkelaars kunnen worden gekocht. Eenvoudig gesteld verliezen de slachtoffers van ransomware vaak niet alleen belangrijke gegevens, maar dikwijls ook hun geld. Onderzoek toont aan dat het uitvoerbare bestand in het "CoronaVirus_Safety_Measures.rar" -bestand dat is toegevoegd aan een van de e-mails van deze spamcampagne, is ontworpen om Agent Tesla te verspreiden. Dat is een tool voor externe toegang waarmee, indien deze is geïnstalleerd, de controle over de geïnfecteerde computer kan worden overgenomen. Een van de belangrijkste functies van die malware is keylogging - het registreren van toetsaanslagen op het systeem. Deze functie kan worden gebruikt om accounts, inloggegevens en allerlei andere persoonlijke gegevens en informatie te stelen. In elk geval mag u, ongeacht welke kwaadaardige software de cybercriminelen achter deze spamcampagne proberen te verspreiden, nooit bijlagen of websitelinks openen in dergelijke mails. Doet u dat wel dan loopt u het risico op dataverlies, financiële verliezen, privacyschending en zelfs identiteitsdiefstal.
Naam | Coronavirus spamcampagne |
Type bedreiging | Trojan, wachtwoord-stelend virus, banking malware, spyware. |
Hoax - nepnieuws | Deze spamcampagne wordt vermomd als een mail over beschermende maatregelen tegen het coronavirus |
Bijlage(s) | CoronaVirus_Safety_Measures.rar |
Detectienamen (CoronaVirus_Safety_Measures.rar) | Arcabit (Trojan.AutoIT.Agent.AAJ), Emsisoft (Trojan.AutoIT.Agent.AAJ (B)), ESET-NOD32 (een variant van Win32/Injector.Autoit.FAQ), Kaspersky (Trojan-Dropper.Win32.Autit.nlm), volledige detectielijst (VirusTotal) |
Symptomen | Trojans zijn ontworpen om stiekem te infiltreren op de computers van hun slachtoffers. Er zijn dus geen duidelijke symptomen zichtbaar op de besmette computer. |
Payload | Agent Tesla, Emotet, LokiBot, Remcos, TrickBot, FormBook, Ave Maria, LimeRAT, CrimsonRAT en heel veel andere malware. |
Distributiemethodes | Besmette bijlagen in e-mails, kwaadaardige online advertenties, social engineering, software 'cracks'. |
Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer wordt toegevoegd aan een botnet. |
Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Enkele andere voorbeelden van spammails die cybercriminelen verzenden om gebruikers te misleiden zodat ze malware installeren zijn: "Greta Thunberg Email Virus", "Christmas Party Email" en "UPS Email Virus". In de meeste gevallen worden deze spammails vermomd als belangrijke of officiële bereichten van legitieme bedrijven. In elk geval besmetten mensen die bijlagen openen, of die op links in deze mails klikken, hun computers wellicht met gevaarlijke malware waarmee cybercriminelen op een of andere manier geld hopen te verdienen.
Hoe besmette het "Coronavirus Email Virus" mijn computer?
Onderzoek toont aan dat cybercriminelen via deze spamcampagne malware verspreiden via links in de e-mails of schadelijke bijlagen. De meest gebruikte bestandsindelingen om malware via e-mails te verspreiden (via bijlagen en/of websitelinks) zijn schadelijke Microsoft Office-, PDF-, uitvoerbare (.exe), archief- (ZIP, RAR) of JavaScript-bestanden. Meestal infecteren die bestanden systemen wanneer ontvangers ze openen. Als een bijlage (of een bestand gedownload via een link) bijvoorbeeld een MS Office-document is en het wordt geopend met een Microsoft Office versie 2010 of later, dan zal het om toestemming vragen om macro-opdrachten in te schakelen (bewerken). Krijgt het die toestemming dan wordt er een malware geïnstalleerd. Het is goed om te weten dat oudere MS Office-versies (die vóór 2010 op de markt kwamen) geen modus 'Beveiligde weergave' hebben. Dit betekent dat ze malware installeren zonder om toestemming te vragen.
Hoe voorkomt u de installatie van malware?
U mag nooit software downloaden (of installeren) via downloaders (of installatieprogramma's) van derden, niet-officiële websites, peer-to-peer-netwerken (bijv. torrent-clients, eMule) en andere vergelijkbare tools of kanalen. Dit mag enkel worden gedaan met behulp van officiële websites en directe links. Geïnstalleerde software mag niet worden bijgewerkt via niet-officiële tools van derden. De enige veilige manier om software te updaten is gebruik te maken van geïmplementeerde functies en/of tools die worden aangeboden door officiële ontwikkelaars. Hetzelfde geldt voor de activering van gelicentieerde (betaalde) software. Niet alleen is het niet legaal om daarvoor onofficiële activeringstools ('cracks') te gebruiken, deze veroorzaken vaak ook de installatie van malware. Bijlagen die zijn opgenomen in irrelevante e-mails (die bv. werden verzonden vanaf onbekende, verdachte e-mailadressen) mogen niet worden geopend. Het is goed om te beseffen dat cybercriminelen hun e-mails vaak vermommen als officiële of belangrijke berichten. Bijlagen en/of websitelinks in dergelijke e-mails mogen dus alleen worden geopend als er geen reden is om aan te nemen dat deze mogelijk onveilig zijn. Ten slotte is het ook belangrijk om het besturingssysteem regelmatig te scannen met een gerenommeerde antispyware- of antivirussoftware om zo de gedetecteerde bedreigingen zo snel mogelijk te verwijderen. Als u al een bijlage in een verdachte coronavirus e-mail al hebt geopend, dan raden we u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Tekst in één variant van de e-mail "Coronavirus Email Virus":
Betreft: Coronavirus (2019 -nCov) veiligheidsmaatregelen
Geachte heer mevrouw,Doorloop het bijgevoegde document over veiligheidsmaatregelen met betrekking tot de verspreiding van het coronavirus.
Deze kleine maatregel kan u redden.
De WHO werkt nauw samen met wereldwijde experts, regeringen en partners om de wetenschappelijke kennis over dit nieuwe virus snel uit te breiden en advies te geven over maatregelen om de gezondheid te beschermen en de verspreiding van deze uitbraak te voorkomen.
Symptomen om op te letten; Veel voorkomende symptomen zijn koorts, hoesten, kortademigheid en ademhalingsmoeilijkheden.
vriendelijke groeten
Dr Liang -
Intensive Care-arts
WHO-plaagpreventie en -bestrijding (sic)
Schermafbeelding van een andere variant van de "Coronavirus e-mail":
Tekst in deze e-mail:
Onderwerp: Re: SAFTY CORONA VIRUS AWARENESS WHO
Geachte heer,
Doorloop het bijgevoegde document over veiligheidsmaatregelen met betrekking tot de verspreiding van het coronavirus.
Klik op onderstaande knop om te downloaden
Symptomen veel voorkomende symptomen zijn koorts, hoesten, kortademigheid en ademhalingsmoeilijkheden.Vriendelijke groeten.
Dr. StellaSpecialist wuhan-virus-adviserend
Schermafbeelding van een kwaadaardig bestand dat wordt verspreid via de spamcampagne "Coronavirus Email Virus" dat als virus wordt gedetecteerd door een aantal virusdetectie-engines op VirusTotal:
Een andere kwaadaardige bijlage (een VBS-bestand) die wordt verspreid via coronavirus-gerelateerde e-mailspamcampagnes. Deze is ontworpen om systemen te besmetten met Remcos RAT:
Criminelen hebben onlangs een nieuwe variant van de spamcampagne gelanceerd om Remcos RAT, de Ave Maria trojan en LimeRAT te verspreiden:
Tekst in deze e-mail:
Beste branchepartners,
Vanwege de recente aankondiging door de Chinese regering over de verspreiding van het Corona-virus, kunnen klanten die naar / van WUH / SHA / BJS / CAN reizen, ervoor kiezen om hun vluchten te wijzigen, aangezien de uitbraak van coronavirus-update China vandaag de bijlage en de getroffen landen blijft zien hieronder:
Boekings- en ticketrichtlijnen:
Onderstaande opties zijn beschikbaar voor tickets uitgegeven op / voor 24 februari 2020 en reizen tot 29 maart 2020
Opnieuw boeken:
Het algemene ontheffingsbeleid moet worden gebruikt voor tickets die zijn uitgegeven op / voor 24 februari. Reizen is van / naar / van / naar WUH / SHA / BJS / CAN.
Reizen van / naar WUH moet via EK online punten zijn (SHA / BJS / CAN)
Klanten kunnen ervoor kiezen om hun vluchten binnen 7 dagen te wijzigen dan oorspronkelijk geboektOmleiding:
Omleiding is toegestaan volgens het algemene ontheffingsbeleid
Bied een omleiding binnen 7 dagen aan dan oorspronkelijk geboekt volgens de richtlijnen van General Waiver.
EK biedt geen verder vervoer of boeking buiten de gewenste bestemming.Terugbetaling:
1. Reizen van / naar WUH: Restitutieoptie is alleen van toepassing op klanten die 1 maand reizen vanaf de datum van het incident (23 januari 2020 - 23 februari 2020) volgens de richtlijnen van General Waiver. Buiten deze periode zijn restitutiekosten van toepassing volgens de tariefvoorwaarden.
2. Reizen van / naar SHA / BJS / CAN: Restitutieoptie is beschikbaar voor klanten die reizen van 24 februari tot 29 maart 2020. Buiten deze periode zijn restitutiekosten van toepassing volgens de tariefvoorwaarden.een. Het restitutieverzoek moet worden ingediend via het restitutieformulier online *******. Informeer onze klanten om opmerkingen "Refund request due to Corona virus" bij te werken bij het initiëren van het verzoek. Dit zal in de centrale wachtrij voor restitutie vallen voor handmatige actie en zal voorkomen dat restitutiekosten op tickets worden toegepast.
Neem contact op met ons callcenter op ******* OF bezoek ******* voor meer informatie
Nog een variant van een aan het coronavirus gerelateerde spamcampagne, deze keer om het FormBook virus te verspreiden:
Tekst in deze e-mail:
Betreft: CORONA-VIRUS AFFECTED COMPANY STAFF
VOOR WIE HET ZICH KAN BETREFFEN Zoek het bijgevoegde bestand van slachtoffers en voorspel de slachtoffers van het corona-virus op 22/02/20. Deze lijst bevat afbeeldingen, landen, namen en getroffen bedrijven. Dr Li Wei 26 Shengli St, Jiang'an District, Wuhan, Hubei, China + 862782814009 Hubei hxxp: //www.zxhospital.com/
Schermafbeelding van de kwaadaardige bijlage die wordt gedetecteerd als ("LIST.ARJ") in VirusTotal:
Nog een aan het coronavirus gerelateerde spamcampagne, deze keer om de TrickBot trojan te verspreiden:
Tekst in deze e-mail:
Subject: Coronavirus: Informazioni importanti su precauzioni
Gentile Signore/Signora,
A causa del fatto che nella Sua zona sono documentati casi di infezione dal coronavirus, l'Organizzazione Mondiale della Sanità ha preparato un documento che comprende tutte le precauzioni necessarie contro l'infezione dal coronavirus. Le consigliamo vivamente di leggere il documento allegato a questo messaggio!
Distinti saluti,
Dr. Penelope Marchetti (Organizzazione Mondiale della Sanità - Italia)
Nog een variant van een spamcampagne gerelateerd aan het coronavirus. Deze e-mail bevat een kwaadaardig MS Excel-document ("COVID-19 Recomendaton_Precations_Desinfection.xlam") waarmee computers besmet worden met de Skidware RAT:
Tekst in deze e-mail:
Geachte heer / dame,
Omdat gevallen van coronavirusinfectie in uw regio zijn gedocumenteerd, heeft de Wereldgezondheidsorganisatie een document opgesteld met alle noodzakelijke precieze maatregelen tegen coronavirusinfectie.
We raden u ten zeerste aan het document bij dit bericht te lezen!
Vriendelijke groet.
Dr. Penelope Marchetti,
Wereldgezondheidsorganisatie (W H O).
Pop-up-venster met de vraag om macro's in te schakelen zodra het kwaadaardige document wordt geopend:
Nog een ander kwaadaardig Microsoft Excel-document ("36978_1582552996_NHQEncl1.xls1") dat wordt verspreid via coronavirus-gerelateerde spammails. Dit kwaadaardige document besmet computers met CrimsonRAT via macro-commando's:
Tekst in dit document:
GEZONDHEIDSADVIES: CORONA VIRUS
1. Traineers & workes uit het buitenland volgen cursussen bij verschillende Indiase vestigingen en trg Inst.
2. De uitbraak van CORONA VIRUS is zorgwekkend, vooral waar buitenlands personeel onlangs is aangekomen of in de nabije toekomst op verschillende Intt zal arriveren.
3. Om verspreiding van CORONA VIRUS in opleidingsinstellingen te voorkomen, moeten preventieve maatregelen worden genomen en moeten adviezen worden verspreid naar alle instellingen en instellingen.
4. Gezien het bovenstaande wordt u verzocht om de nodige instructies te geven aan alle betrokken medische instellingen. Behandel deze informatie als hoogdringend.
Update 20 maart 2020 - Cybercriminelen zijn onlangs met een nieuwe spamcampagne gestart om RedLineStealer te verspreiden. Ze sturen duizenden misleidende e-mails met het verzoek om hulp bij medisch onderzoek gerelateerd aan het coronavirus. Ze vragen gebruikers om een bepaalde software te installeren die zogenaamd de computer van de ontvanger gebruikt om allerlei berekeningen uit te voeren en zo de onderzoekers te helpen. De app die gebruikers volgens deze e-mails zouden moeten installeren is genaamd 'Folding@home'. Noteer dat deze applicatie echt bestaat en legitiem is. Deze spamcampagne is echter misleidend - in plaats van het eerder genoemde Folding@home te installeren, besmetten de slachtoffers hun systeem met RedLineStealer. Meer details vindt u in het artikel van Lawrence Abram in Bleeping Computer.
Zo ziet de spammail eruit die wordt gebruikt om RedLineStealer te verspreiden (vermomd als de Folding@home-applicatie):
Tekst in deze e-mail:
Onderwerp: Help ons alstublieft het coronavirus te bestrijden
Groeten van Mobility Research Inc en Folding@Thome Zoals we allemaal weten, wordt het coronavirus de laatste tijd een grote bedreiging voor de menselijke samenleving. Wij zijn een toonaangevende instelling die werkt aan de remedie om deze wereldwijde crisis op te lossen. We hebben echter uw hulp nodig. Met uw bijdrage kunt u ons proces om de remedie te vinden versnellen. Het proces is heel eenvoudig, u moet een app op uw computer installeren, waarmee we simulaties van de remedie kunnen uitvoeren. Het proces is heel eenvoudig, u moet een app op uw computer installeren, waarmee we simulaties van de remedie kunnen uitvoeren. Dit is volledig door u te regelen en u kunt in- en uitschakelen wanneer u dat prettig vindt. Dit zal ons enorm helpen en misschien het corona-virus stoppen voordat het te laat is.
Bedankt, je Mobility Research Inc en Folding@ThomeWilt u meer lezen over onze organisatie, klik dan hier:
Folding @ Thome
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is een coronavirus e-mail met virus(sen)?
- STEP 1. Handmatige verwijdering van malware.
- STEP 2. Controleren of uw computer virusvrij is.
Hoe malware handmatig verwijderen?
De handmatig verwijderen van malware is een gecompliceerde taak, meestal is het beter om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken. Als u malware handmatig wilt verwijderen, moet u eerst de naam kennen van de malware die u probeert te verwijderen. Hier een voorbeeld van een verdacht programma dat op de computer van de gebruiker wordt uitgevoerd:
Als u de lijst met programma's op uw computer hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer en een programma hebt geïdentificeerd dat er verdacht uitziet, gaat u verder met de volgende stappen:
Download het programma Autoruns. Dit programma toont toepassingen die automatisch starten, register- en bestandssysteemlocaties:
Herstart uw computer in Veilige Modus:
Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.
Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":
Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk F5 om in Veilige Modus met netwerk te starten.
Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.
Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":
Pak het archiefbestand uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-applicatie bovenaan op "Opties" en verwijder de vinkjes bij "Hide Empty Locations" en "Hide Windows Entries". Na deze procedure klikt u op het pictogram "Refresh".
Controleer de lijst van de Autoruns-applicatie en zoek het malwarebestand uit dat u wilt verwijderen.
Schrijf het volledige pad en de naam op. Merk op dat sommige malware de procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u 'Delete'.
Nadat u de malware hebt verwijderd via de Autoruns-applicatie (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende opstart van het systeem), moet u de malwarenaam op uw computer zoeken. Zorg dat u verborgen mappen en bestanden inschakelt voordat u doorgaat. Als u het bestand van de malware vindt, verwijder het dan.
Start uw computer opnieuw op in normale modus. Door deze stappen te volgen, kunt u eventuele malware van uw computer verwijderen. Merk op dat voor het handmatig verwijderen van malware een grondige computerkennis noodzakelijk is. Het wordt daarom aanbevolen om de verwijdering van malware over te laten aan antivirus- en antimalwareprogramma's. Deze stappen werken mogelijk niet met geavanceerde malware-infecties. Zoals altijd is het beter om besmettingen te voorkomen dan achteraf malware te moeten verwijderen. Om ervoor te zorgen dat uw computer veilig blijft, moet u steeds de meest recente updates van het besturingssysteem installeren en antivirussoftware gebruiken.
Om zeker te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner.
▼ Toon discussie