Wiadomość z Gruzji
#1
Witam.

Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku?, z jakiej racji. Dziwniejsze jest to, że do wiadomości został dołączony załącznik. Postanowiłem go pobierać i rozpakować, ale wcześniej uruchomiłem przeglądarkę w Sandobxie. Plik został podwójnie spakowany za pomocą programu Winrar. Wiele programów nie potrafi poprawnie przeskanować takiego pliku.

Oto treść:
დაბოლ,

ნც შთაბეჭ, აქო ომი ა, რმეები მაგ. ‘ომი არის დაუფარავი. ანუშორებლივ და . და ამ ბრძო¬ლის ერთად, ყოველს ერს ! მოქარგულ აჭრელე? დამწვა მატირადამდ! აში ერთვება მ! ლურ-ბიუროკრატიულ სი-ო წრეში ეს, ბი აქ კიდევ, საზრისით შეზღუდული .

----
1 x ის) განმსაზ: 21.74 EUR

----
ლი სულის: 21.74 EUR

არის სამა "class_invoice.zip" იტეს კარს

ს გულისათვ,
Class Marine Ltd
ერილი ქმელია



Wiadomość została wysłana z e-mail: <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->
Musi być to coś świeżego, ponieważ mój skan w virustotal był pierwszym skanem tego pliku :

[Aby zobaczyć linki, zarejestruj się tutaj]

Korzystam z oprogramowania antywirusowego 360TS i podczas próby uruchomienia zaawansowana heurystyka wykryła intruza:

[Aby zobaczyć linki, zarejestruj się tutaj]


I gdyby ktoś chciał pobrać sobie ten plik do testów:

[Aby zobaczyć linki, zarejestruj się tutaj]

(nie ponoszę odpowiedzialności za wyrządzone szkody nieumiejętnym obsługiwaniem się potencjalnie niebezpiecznych plików).


Z tego miejsca chciałbym zaapelować - nie otwierajcie (głównie laicy) tego typu plików, a głównie plików z nieznanych źródeł bez korzystania ze szczelnego sandboxa czy maszyny wirtualnej.
Wiem, że na tym forum jest wiele osób zajmujących się skanowaniem tego typu plików, więc proszę o informacje czy jest to coś niebezpiecznego.

Pozdrawiam

(nie chciałem podpinać się do istniejących tematów, aby nie zaśmiecać, jeżeli to błąd to proszę o przeniesienie)
Odpowiedz
#2
Coś z czarnej półki.
1. Wiadomość z Gruzji, samo to w sobie jest już dziwne.
2. Załącznik podwójnie spakowany, do tego format .scr, podejrzane, nawet bardzo.
Gratuluję szybkiej i dobrej reakcji. No i plus dla 360 TS Wink
Ze swojej strony.
Wyślę to do laboratorium COMODO.

Dzięki.

Ps.
Jest jakieś hasło do archiwum

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#3
Nie ma hasła, jest to magazyn prosto pobrany z poczty.
Odpowiedz
#4
zieloczek100 napisał(a):Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku?

Tak na szybko,radzę uważać na to.

Ransomware CTB Locker

Uzyskuje dostęp do sieci za pomocą usługi dns resolver.

Działań jest więcej,ale nie chce mi się dokładnie tego sprawdzać.

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


Treść widoczna jedynie dla zarejestrowanych użytkowników

pass. infected
Odpowiedz
#5
tachion napisał(a):
zieloczek100 napisał(a):Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku?

Tak na szybko,radzę uważać na to.

Ransomware CTB Locker

Uzyskuje dostęp do sieci za pomocą usługi dns resolver.

Działań jest więcej,ale nie chce mi się dokładnie tego sprawdzać.

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

[Aby zobaczyć linki, zarejestruj się tutaj]


Treść widoczna jedynie dla zarejestrowanych użytkowników
A hasło jest jakieś?

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
Zawsze jest albo sg albo infected
Odpowiedz
#7
W załączniku, który dostałem jest podobny Locker? - nie mam chwilowo maszyny wirtualnej, aby to przetestować.
Odpowiedz
#8
Tak wyglądała ta "wiadomość"

[Aby zobaczyć linki, zarejestruj się tutaj]


klika minut później (po otworzeniu wiadomości)

[Aby zobaczyć linki, zarejestruj się tutaj]

po kliknięciu next

[Aby zobaczyć linki, zarejestruj się tutaj]

i widok na zablokowane pliki

[Aby zobaczyć linki, zarejestruj się tutaj]


Wszystko robione na maszynie wirtualnej. W procesach oprócz wordpada pojawiał się jeszcze inny proces. Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać?
Osoby, które mają zamiar to uruchamiać - pamiętajcie, robicie to na waszą odpowiedzialność Wink
Odpowiedz
#9
Wyślę to do labu Emsisoft.
Z tego co widzę, plik podszywa się pod wygaszacz ekranu.

Pozdrawiam,

Mikołaj
Odpowiedz
#10
Tiranium Internet Security Widzi zagrożenie , Zemana 0 reakcji
Odpowiedz
#11
Cytat:Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać?

CBŚ Ci wjedzie na chate , a tak na poważnie to Ransomware CTB Locker (zastanawiam się jak jest z prywatności Grin) lubi zmieniać IP tak jak np zenmate.

Po 5 minutach po przeskanowaniu Ransomware CTB Locker Tiranium krzyszczy Alert(wiadomość na pulpicie jak i wiadomość głosowa)
Odpowiedz
#12
KIS 2015 podczas pobierania alarmuje o zagrożeniu:
Trojan-Downloader.Win32.Cabby.cccy
••• KASPERSKY Internet Security 2018  | ZEMANA AntiMalware 2 •••
Odpowiedz
#13
Geniusz napisał(a):Ransomware CTB Locker (zastanawiam się jak jest z prywatności ) lubi zmieniać IP tak jak np zenmate.

Po 5 minutach po przeskanowaniu Ransomware CTB Locker Tiranium krzyszczy Alert (wiadomość na pulpicie jak i wiadomość głosowa)
Od tego momentu wiele nie rozumiem Wink
Możesz jaśniej?
O co chodzi z tym "lubi zmieniać IP" ?
Odpowiedz
#14
czyli ten wirus zmienia Ci IP (Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać?)
Odpowiedz
#15
Wirusa uruchomiłem na maszynie wirtualnej (a wcześniej też w sandboxie), czy mimo to, ten wirus nadal może coś robić w systemie, czy tylko mógł zmieniać IP podczas kiedy był uruchomiony?
Odpowiedz
#16
mógł Ci zainfekować system i nie ważne czy go uruchamiałeś wystarczy że go pobrałeś , ze względu na to że laptopa miałem czystego a po pobraniu tego wirusa mam powyżej 50 infekcji tak jak pokazuje mi scaner esetu kilka koni trojańskich i pupy , pusc skana scanerem eseta Tiranium krzyczy że muszę restartować system czyli jest nie spokojny
Odpowiedz
#17
Raczej przez winrara się nie przebije, u siebie odpalałem to jedynie w sandboxie i maszynie wirtualnej. Mimo wszystko włączę zaraz skan w 360TS. Nawet nie uruchamiałem tego, bo 360TS przy próbie otworzenia od razu wykrył zagrożenie.
Odpowiedz
#18
Wirusy zarchiwizowane nie są groźne, dopóki ich się nie rozpakuje.
Odpowiedz
#19
zieloczek100

To co ty dałeś to Trojan Downloader który ściąga do temp ransoma tego i go wykonuje.

Geniusz

Nie pisz bzdur Smile
Odpowiedz
#20
tachion napisał(a):zieloczek100

To co ty dałeś to Trojan Downloader który ściąga do temp ransoma tego i go wykonuje.

I w rezultacie dostajemy ładnie opakowaną informację o zaszyfrowanych plikach Wink
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości