03.06.2016, 21:33
W ręce firmy Doctor Web trafiła dziś próbka maila rozsyłanego przez cyberprzestępców, podszywających się pod Polską Grupę Energetyczną (PGE) i rzekomo zawierającego fakturę za energię elektryczną. Niestety, zamiast faktury, wiadomość zawiera linki do pobrania wirusa Crypt0L0cker - jednej z mutacji wirusa Trojan.Encoder według klasyfikacji Doctor Web.
Uwagę w tym incydencie zwraca fakt dużo większego dopracowania rozsyłanej wiadomości, niż to miało miejsce w przypadku e-maili pochodzących rzekomo od Poczty Polskiej. Praktyczny brak błędów językowych, wiarygodnie wyglądający (choć fałszywy) numer Klienta PGE i numer eFaktury, zwodnicza szata graficzna, sprawiają że nawet osoba obyta z obsługą komputera i z cyber-zagrożeniami może nie zauważyć, że adres nadawcy nie przystaje do Grupy PGE i że numery Klienta / eFaktury nie są prawdziwe. Kliknięcie na zamieszczone w e-mailu linki spowoduje pobranie ransomware na komputer. W przypadku, gdy potencjalna ofiara rzeczywiście jest klientem PGE korzystającym z eFaktur, istnieje praktycznie 100% pewności, że próba ataku zakończy się sukcesem. Gwoli przestrogi Doctor Web podaje wygląd rzeczonej wiadomości i jeszcze raz zwraca uwagę, aby nie otwierać podejrzanych wiadomości e-mail, a już na pewno, nie klikać lub otwierać zamieszczonych w nich linków czy załączników.
„W liście z żądaniami okupu cyberprzestępcy zamieścili linki do serwerów w sieci TOR, a sama wiadomość została wysłana z domeny zarejestrowanej na Tajwanie. Tak było w tym konkretnym przypadku, ale możemy przypuszczać, że te adresy będą ulegać zmianie i że każda tego typu wiadomość mailowa będzie zawierała inne linki i pochodziła z innego adresu e-mail.” – mówi Piotr Tyborowski, inżynier Doctor Web.
Przykład wiadomości z żądaniem okupu:
===========================================================================
!!! mamy zaszyfrowane swoje pliki wirusem Crypt0L0cker !!!
===========================================================================
Twoje ważne pliki (w tym na dyskach sieciowych, USB, etc): zdjęcia, filmy,
dokumenty, itp zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker.
Jedynym sposobem, aby przywrócić pliki jest nam zapłacić. W przeciwnym wypadku, pliki zostaną utracone.
Aby odzyskać pliki trzeba zapłacić.
W celu przywrócenia plików otworzyć naszą stronę internetową
Jeśli strona nie jest dostępna, wykonaj następujące czynności:
1. Pobierz i zainstaluj Tor-przeglądarkę z tego linku:
2. Po instalacji uruchom przeglądarkę i wpisać adres:
===========================================================================
Źródło: Dr. Web
Uwagę w tym incydencie zwraca fakt dużo większego dopracowania rozsyłanej wiadomości, niż to miało miejsce w przypadku e-maili pochodzących rzekomo od Poczty Polskiej. Praktyczny brak błędów językowych, wiarygodnie wyglądający (choć fałszywy) numer Klienta PGE i numer eFaktury, zwodnicza szata graficzna, sprawiają że nawet osoba obyta z obsługą komputera i z cyber-zagrożeniami może nie zauważyć, że adres nadawcy nie przystaje do Grupy PGE i że numery Klienta / eFaktury nie są prawdziwe. Kliknięcie na zamieszczone w e-mailu linki spowoduje pobranie ransomware na komputer. W przypadku, gdy potencjalna ofiara rzeczywiście jest klientem PGE korzystającym z eFaktur, istnieje praktycznie 100% pewności, że próba ataku zakończy się sukcesem. Gwoli przestrogi Doctor Web podaje wygląd rzeczonej wiadomości i jeszcze raz zwraca uwagę, aby nie otwierać podejrzanych wiadomości e-mail, a już na pewno, nie klikać lub otwierać zamieszczonych w nich linków czy załączników.
„W liście z żądaniami okupu cyberprzestępcy zamieścili linki do serwerów w sieci TOR, a sama wiadomość została wysłana z domeny zarejestrowanej na Tajwanie. Tak było w tym konkretnym przypadku, ale możemy przypuszczać, że te adresy będą ulegać zmianie i że każda tego typu wiadomość mailowa będzie zawierała inne linki i pochodziła z innego adresu e-mail.” – mówi Piotr Tyborowski, inżynier Doctor Web.
Przykład wiadomości z żądaniem okupu:
===========================================================================
!!! mamy zaszyfrowane swoje pliki wirusem Crypt0L0cker !!!
===========================================================================
Twoje ważne pliki (w tym na dyskach sieciowych, USB, etc): zdjęcia, filmy,
dokumenty, itp zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker.
Jedynym sposobem, aby przywrócić pliki jest nam zapłacić. W przeciwnym wypadku, pliki zostaną utracone.
Aby odzyskać pliki trzeba zapłacić.
W celu przywrócenia plików otworzyć naszą stronę internetową
[Aby zobaczyć linki, zarejestruj się tutaj]
i postępuj zgodnie z instrukcjami.Jeśli strona nie jest dostępna, wykonaj następujące czynności:
1. Pobierz i zainstaluj Tor-przeglądarkę z tego linku:
[Aby zobaczyć linki, zarejestruj się tutaj]
2. Po instalacji uruchom przeglądarkę i wpisać adres:
[Aby zobaczyć linki, zarejestruj się tutaj]
3. Postępuj zgodnie z instrukcjami na stronie internetowej.===========================================================================
Źródło: Dr. Web
D
