Email Malicieux « Candidature ANPE » (Nemucod / Cerber)

Depuis fin Décembre, les campagnes d’emails malicieux perdurent à travers le Trojan JavaScript Nemucod :

Un exemple de mail malicieux pour pousser le ransomware Cerber.

Faux mail candidature ANPE

Entre des emails malicieux de copier/scanner, invoice et autres, un mail de Candidature :

Mail_candidature_ANPE

Le corps du mail :

Mail_candidature_ANPE_2

Madame, Monsieur, 

Suite à l'annonce ANPE c'est avec le plus vif intérêt et ma force motivation que je me permets de vous proposer mes services pour le poste à pourvoir.

La ponctualité, la persévérance, la volonté et le dynamisme sont mes plus grands atouts et je serai vous donnez satisfaction comme je l'ai toujours fais avec mes autres responsables. 

Je vous prie de bien vouloir prendre en considération ma candidature et la sincérité de mes propos. 

Restante à votre disposition pour convenir à une rencontre, je vous pris de d'agréer, Madame,Monsieur, l'expression de mes sentiments respectueux.

Louis Dubois

PJ: Curriculum Vitae

Si on regarde les pièces jointes, on a une image et un fichier ZIP.
Le fichier Zip est plutôt original pour un mail de candidature, d’habitude, on a plutôt du PDF ou Word.

Le mail est envoyé depuis 85.214.95.139

Mail_candidature_ANPE_entete

Envoyé d’Allemagne :

inetnum: 85.214.16.0 - 85.214.139.255
netname: STRATO-RZG-DED2
org: ORG-SRA1-RIPE
descr: Strato Rechenzentrum, Berlin
country: DE
admin-c: SRDS-RIPE
tech-c: SRDS-RIPE

La photo de Louis Dubois (un nom, un peu générique)…

<mode délit de facies>Il n’a pas vraiment la tête d’un français et cela ressemble à une photo de vitrine de site</mode délit de facies>

Mail_candidature_ANPE_4

le contenu du zip…. double extension, plutôt classique pour un mail malicieux… on retrouve un .js

Mail_candidature_ANPE_3

Trojan Nemucod et Ransomware Cerber

On retrouve le Trojan Nemucod :

SHA256:3e4f91322c1cfd455deb7bbd65bda075b03161244894c4371a808f46cf54dcad
File name:Curriculum Vitae.pdf.js
Detection ratio:2 / 54
Analysis date:2016-07-21 12:29:32 UTC ( 8 minutes ago )
AntivirusResultUpdate
BaiduJS.Trojan-Downloader.Nemucod.bp20160721
Qihoo-360virus.js.gen.7520160721

qui télécharge un binaire sur http://jengosupport.tw/merde.png – DIRECT/213.111.219.215 –  MAINSTREAM2-UA (Ukraine).
L’utilisation d’un nom de fichier francophone n’est pas commun du tout.

La détection du binaire :

SHA256:1233ba681ab49a746ce4658f0fc927a16c0fb410f4d4c97f95d9478baf344861
File name:3221e7a67ebacea0cee3b5a5942c1ba4.exe
Detection ratio:5 / 54
Analysis date:2016-07-21 12:28:21 UTC ( 11 minutes ago )
AntivirusResultUpdate
AVwareTrojan-Spy.Win32.Zbot.gen (v)20160721
AhnLab-V3Win-Trojan/Cerber.Gen20160721
AvastWin32:Evo-gen [Susp]20160721
Qihoo-360QVM02.0.Malware.Gen20160721
VIPRETrojan-Spy.Win32.Zbot.gen (v)20160721

Il s’agit du ransomware Cerber :

Mail_candidature_ANPE_ransomware_cerber

Comment se protéger de ces emails malicieux

Des campagnes visant les entreprises de plus en plus ciblées. Ici il s’agit de viser les services RH.
Par le passé, Locky utilisait aussi des emails repris de divers services et notamment de facturations pour taper sur les services de compta.

Email malicieux : Nemucod et Locky
Email malicieux : Nemucod et Locky

 

Pour s’en protéger, il faut désactiver Windows Script Hosting, Marmiton peut vous y aider :

Comment se protéger des scripts malicieux sur Windows

Comment sécuriser mon Windows

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 441 times, 1 visits today)

2 thoughts on “Email Malicieux « Candidature ANPE » (Nemucod / Cerber)

  1. Bonjour,

    Tout d’abord merci de l’aide que vous apporter aux malchanceux du merveilleux monde de l’informatique.
    Je voulais savoir si une solution avait été trouvé pour décrypter les données encryptées avec le virus RSA 4096 avec l’extension .ttt

    Merci à l’avance

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *