Wiadomość z Gruzji - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Malware Lab (https://safegroup.pl/forum-20.html) +--- Wątek: Wiadomość z Gruzji (/thread-9075.html) Strony:
1
2
|
Wiadomość z Gruzji - zieloczek100 - 20.01.2015 Witam. Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku?, z jakiej racji. Dziwniejsze jest to, że do wiadomości został dołączony załącznik. Postanowiłem go pobierać i rozpakować, ale wcześniej uruchomiłem przeglądarkę w Sandobxie. Plik został podwójnie spakowany za pomocą programu Winrar. Wiele programów nie potrafi poprawnie przeskanować takiego pliku. Oto treść: დაბოლ, ნც შთაბეჭ, აქო ომი ა, რმეები მაგ. ‘ომი არის დაუფარავი. ანუშორებლივ და . და ამ ბრძო¬ლის ერთად, ყოველს ერს ! მოქარგულ აჭრელე? დამწვა მატირადამდ! აში ერთვება მ! ლურ-ბიუროკრატიულ სი-ო წრეში ეს, ბი აქ კიდევ, საზრისით შეზღუდული . ---- 1 x ის) განმსაზ: 21.74 EUR ---- ლი სულის: 21.74 EUR არის სამა "class_invoice.zip" იტეს კარს ს გულისათვ, Class Marine Ltd ერილი ქმელია Wiadomość została wysłana z e-mail: <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e --> Musi być to coś świeżego, ponieważ mój skan w virustotal był pierwszym skanem tego pliku : [Aby zobaczyć linki, zarejestruj się tutaj] Korzystam z oprogramowania antywirusowego 360TS i podczas próby uruchomienia zaawansowana heurystyka wykryła intruza:[Aby zobaczyć linki, zarejestruj się tutaj] I gdyby ktoś chciał pobrać sobie ten plik do testów: [Aby zobaczyć linki, zarejestruj się tutaj] (nie ponoszę odpowiedzialności za wyrządzone szkody nieumiejętnym obsługiwaniem się potencjalnie niebezpiecznych plików).Z tego miejsca chciałbym zaapelować - nie otwierajcie (głównie laicy) tego typu plików, a głównie plików z nieznanych źródeł bez korzystania ze szczelnego sandboxa czy maszyny wirtualnej. Wiem, że na tym forum jest wiele osób zajmujących się skanowaniem tego typu plików, więc proszę o informacje czy jest to coś niebezpiecznego. Pozdrawiam (nie chciałem podpinać się do istniejących tematów, aby nie zaśmiecać, jeżeli to błąd to proszę o przeniesienie) Re: Wiadomość z Gruzji - zbc - 20.01.2015 Coś z czarnej półki. 1. Wiadomość z Gruzji, samo to w sobie jest już dziwne. 2. Załącznik podwójnie spakowany, do tego format .scr, podejrzane, nawet bardzo. Gratuluję szybkiej i dobrej reakcji. No i plus dla 360 TS Ze swojej strony. Wyślę to do laboratorium COMODO. Dzięki. Ps. Jest jakieś hasło do archiwum Re: Wiadomość z Gruzji - zieloczek100 - 20.01.2015 Nie ma hasła, jest to magazyn prosto pobrany z poczty. Re: Wiadomość z Gruzji - tachion - 20.01.2015 zieloczek100 napisał(a):Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku? Tak na szybko,radzę uważać na to. Ransomware CTB Locker Uzyskuje dostęp do sieci za pomocą usługi dns resolver. Działań jest więcej,ale nie chce mi się dokładnie tego sprawdzać. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Treść widoczna jedynie dla zarejestrowanych użytkowników pass. infected Re: Wiadomość z Gruzji - zbc - 20.01.2015 tachion napisał(a):A hasło jest jakieś?zieloczek100 napisał(a):Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku? Re: Wiadomość z Gruzji - tachion - 20.01.2015 Zawsze jest albo sg albo infected Re: Wiadomość z Gruzji - zieloczek100 - 21.01.2015 W załączniku, który dostałem jest podobny Locker? - nie mam chwilowo maszyny wirtualnej, aby to przetestować. Re: Wiadomość z Gruzji - zieloczek100 - 22.01.2015 Tak wyglądała ta "wiadomość" [Aby zobaczyć linki, zarejestruj się tutaj] klika minut później (po otworzeniu wiadomości) [Aby zobaczyć linki, zarejestruj się tutaj] po kliknięciu next[Aby zobaczyć linki, zarejestruj się tutaj] i widok na zablokowane pliki[Aby zobaczyć linki, zarejestruj się tutaj] Wszystko robione na maszynie wirtualnej. W procesach oprócz wordpada pojawiał się jeszcze inny proces. Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać? Osoby, które mają zamiar to uruchamiać - pamiętajcie, robicie to na waszą odpowiedzialność Re: Wiadomość z Gruzji - Mikołaj - 22.01.2015 Wyślę to do labu Emsisoft. Z tego co widzę, plik podszywa się pod wygaszacz ekranu. Pozdrawiam, Mikołaj Re: Wiadomość z Gruzji - Tibu 11 - 22.01.2015 Tiranium Internet Security Widzi zagrożenie , Zemana 0 reakcji Re: Wiadomość z Gruzji - Tibu 11 - 22.01.2015 Cytat:Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać? CBŚ Ci wjedzie na chate , a tak na poważnie to Ransomware CTB Locker (zastanawiam się jak jest z prywatności ) lubi zmieniać IP tak jak np zenmate. Po 5 minutach po przeskanowaniu Ransomware CTB Locker Tiranium krzyszczy Alert(wiadomość na pulpicie jak i wiadomość głosowa) Re: Wiadomość z Gruzji - jasiekkidawa - 22.01.2015 KIS 2015 podczas pobierania alarmuje o zagrożeniu: Trojan-Downloader.Win32.Cabby.cccy Re: Wiadomość z Gruzji - zieloczek100 - 22.01.2015 Geniusz napisał(a):Ransomware CTB Locker (zastanawiam się jak jest z prywatności ) lubi zmieniać IP tak jak np zenmate.Od tego momentu wiele nie rozumiem Możesz jaśniej? O co chodzi z tym "lubi zmieniać IP" ? Re: Wiadomość z Gruzji - Tibu 11 - 22.01.2015 czyli ten wirus zmienia Ci IP (Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać?) Re: Wiadomość z Gruzji - zieloczek100 - 22.01.2015 Wirusa uruchomiłem na maszynie wirtualnej (a wcześniej też w sandboxie), czy mimo to, ten wirus nadal może coś robić w systemie, czy tylko mógł zmieniać IP podczas kiedy był uruchomiony? Re: Wiadomość z Gruzji - Tibu 11 - 22.01.2015 mógł Ci zainfekować system i nie ważne czy go uruchamiałeś wystarczy że go pobrałeś , ze względu na to że laptopa miałem czystego a po pobraniu tego wirusa mam powyżej 50 infekcji tak jak pokazuje mi scaner esetu kilka koni trojańskich i pupy , pusc skana scanerem eseta Tiranium krzyczy że muszę restartować system czyli jest nie spokojny Re: Wiadomość z Gruzji - zieloczek100 - 22.01.2015 Raczej przez winrara się nie przebije, u siebie odpalałem to jedynie w sandboxie i maszynie wirtualnej. Mimo wszystko włączę zaraz skan w 360TS. Nawet nie uruchamiałem tego, bo 360TS przy próbie otworzenia od razu wykrył zagrożenie. Re: Wiadomość z Gruzji - Mikołaj - 22.01.2015 Wirusy zarchiwizowane nie są groźne, dopóki ich się nie rozpakuje. Re: Wiadomość z Gruzji - tachion - 22.01.2015 zieloczek100 To co ty dałeś to Trojan Downloader który ściąga do temp ransoma tego i go wykonuje. Geniusz Nie pisz bzdur Re: Wiadomość z Gruzji - zieloczek100 - 22.01.2015 tachion napisał(a):zieloczek100 I w rezultacie dostajemy ładnie opakowaną informację o zaszyfrowanych plikach |