<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style><![endif]--><style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Brush Script MT";

        panose-1:3 6 8 2 4 4 6 7 3 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

p.MsoPlainText, li.MsoPlainText, div.MsoPlainText

        {mso-style-priority:99;

        mso-style-link:"Plain Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

p.msonormal0, li.msonormal0, div.msonormal0

        {mso-style-name:msonormal;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

span.PlainTextChar

        {mso-style-name:"Plain Text Char";

        mso-style-priority:99;

        mso-style-link:"Plain Text";

        font-family:"Calibri",sans-serif;}

span.EmailStyle20

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

span.EmailStyle21

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

span.EmailStyle22

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

span.EmailStyle23

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

span.EmailStyle24

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

span.EmailStyle25

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1027" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal">FW: Cyber Notification: New Strain of Crypto Locker (cerber2)<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Hello all,<o:p></o:p></p>

<p class="MsoNormal">This is an alert email to be aware of a ransomware attached to email being sent to campus. Tell your users to delete immediately without opening the word doc and if they have done so already they will have initiated the encryption sequence.

  <span style="color:#1F497D">Antivirus</span> appears to be detecting this threat so be sure your machines are updated.

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:16.0pt;font-family:"Brush Script MT"">Gil Salazar<o:p></o:p></span></p>

<p class="MsoNormal"><!--[if gte vml 1]><v:shapetype id="_x0000_t75" coordsize="21600,21600" o:spt="75" o:preferrelative="t" path="m@4@5l@4@11@9@11@9@5xe" filled="f" stroked="f">

<v:stroke joinstyle="miter" />

<v:formulas>

<v:f eqn="if lineDrawn pixelLineWidth 0" />

<v:f eqn="sum @0 1 0" />

<v:f eqn="sum 0 0 @1" />

<v:f eqn="prod @2 1 2" />

<v:f eqn="prod @3 21600 pixelWidth" />

<v:f eqn="prod @3 21600 pixelHeight" />

<v:f eqn="sum @0 0 1" />

<v:f eqn="prod @6 1 2" />

<v:f eqn="prod @7 21600 pixelWidth" />

<v:f eqn="sum @8 21600 0" />

<v:f eqn="prod @7 21600 pixelHeight" />

<v:f eqn="sum @10 21600 0" />

</v:formulas>

<v:path o:extrusionok="f" gradientshapeok="t" o:connecttype="rect" />

<o:lock v:ext="edit" aspectratio="t" />

</v:shapetype><v:shape id="Picture_x0020_3" o:spid="_x0000_s1026" type="#_x0000_t75" alt="wildcat" style='position:absolute;margin-left:-12.3pt;margin-top:-91.3pt;width:33.35pt;height:33.35pt;z-index:-251658752;visibility:visible;mso-wrap-style:square;mso-width-percent:0;mso-height-percent:0;mso-wrap-distance-left:9pt;mso-wrap-distance-top:0;mso-wrap-distance-right:9pt;mso-wrap-distance-bottom:0;mso-position-horizontal:absolute;mso-position-horizontal-relative:text;mso-position-vertical:absolute;mso-position-vertical-relative:text;mso-width-percent:0;mso-height-percent:0;mso-width-relative:page;mso-height-relative:page'>

<v:imagedata src="cid:image002.gif@01D1FD23.EF2E80E0" o:title="wildcat" />

<w:wrap type="square"/>

</v:shape><![endif]--><![if !vml]><img width="44" height="44" style="width:.4583in;height:.4583in" src="cid:image003.jpg@01D1FD24.65ACABC0" align="left" hspace="12" alt="wildcat" v:shapes="Picture_x0020_3"><![endif]><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Interim

 Deputy Information Security Officer<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif">University of Arizona<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif">520-626-3651<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="margin-left:.5in"><b>Subject:</b> Cyber Notification: New Strain of Crypto Locker (cerber2 )<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">For your awareness.<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">Here are some details for this attack:<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">Emails come in from odd email addresses, one from 67170@gmail, another from a

<a href="mailto:malgeneva@kln.gov.my"><span style="color:windowtext;text-decoration:none">malgeneva@kln.gov.my</span></a>, and

<a href="mailto:eidauer@uconn.edu"><span style="color:windowtext;text-decoration:none">eidauer@uconn.edu</span></a><o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">Blank subject<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">They have a single file in them 3 letters(they change) and the users email.zip IE abcjohn.doe.zip<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">In the zip file is a Word document called 1.doc<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">When you open it, it looks like the attached file. When the user follows the instructions to enable content the virus runs. It doesn't appear to do anything, but I did notice it deletes all the embedded macros

 in the document and highlights everything in the document.<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">After the computer goes to sleep, it goes through an encrypts files in many folders on the computer. So far we have not seen any mapped drives get hit, just C: drive. It leaves 4 files in every folder it encrypts:<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"># DECRYPT MY FILES #.html<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"># DECRYPT MY FILES #.txt<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"># DECRYPT MY FILES #.url which takes you to a website # DECRYPT MY FILES #.vbs (which is a script that plays a woman's voice telling you that all your files have been encrypted)<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">Then the encrypted files get letters and characters as names with a .cerber2 extension<o:p></o:p></p>

<p class="MsoPlainText" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoPlainText" style="margin-left:.5in">It changes your desktop to the ransom note with a grey speckled background and it plays the script file.<o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

</body>

</html>