Let op: nieuwe Post.nl ransomware

Dat de naam en huisstijl van Post.nl recentelijk negatief in het nieuws zijn … dat is bekend. Veel mensen bestellen online en veel mensen verwachten dus zeer regelmatig pakketjes. Een Post.nl e-mailtje met track & trace informatie is dan ook helemaal niet vreemd en een klik is zo gedaan.

Dat deze methode effectief is blijkt wel uit het feit dat we al veel verschillende varianten voorbij hebben zien komen. Ook nu is er weer een nieuwe variant. Deze ziet er als volgt uit:

Alle links in de e-mail zijn legitiem en verwijzen naar de post.nl website. Dit met uitzondering van 1 link, namelijk de track & trace link. Deze link verwijst naar een trackentrace.top domein. Als je op deze link klikt zal er een .jar (JAva Archive) bestand gedownload worden. In dit voorbeeld postnltrack.jar.

Wat ook opvalt is dat de e-mail niet verzonden is vanuit een postnl e-mailadres. Het afzender adres (in dit geval) is frybolt@tntfashion.nl.

Nadat er op de link geklikt is zal het postnltrack.jar bestand gedownload worden. Als je vervolgens op dit bestand klikt zal het bestand automatisch worden uitgevoerd (mits u Java Runtime Environment geïnstalleerd heeft maar die kans is zeer groot). Vervolgens zullen je persoonlijke documenten weer versleuteld worden en de cryptolocker (NL Torrentlocker) zal je computer op slot zetten en om een betaling vragen. “Same old song and dance” …. dus!

Kijk dus uit voor deze nieuwe e-mail en klik niet op links in e-mails mits je er zeker van bent dat de link veilig is. De beste truc is om altijd de doellink te controleren door met je muis over de link te bewegen (zonder er op te klikken). Op deze manier zie je snel waar de link naartoe gaat als je er wel op zou klikken.