ОФФ: аттач в письме, не распознававшийся антивирусом
В продолжение темы, тут уже поднимавшейся.
Если ружьё висит на стене, оно обязательно выстрелит :)
Анамнез:
Юзеру пришло письмо с известного адреса из его "белого списка" контрагентов, с очень вменяемым текстом и ссылкой (не аттачем) на "Акт сверки.zip". При нажатии ссылка делает подмену себя, запускает скрипт js и подсасывает основное тело вируса.
Вирус не сечётся лицензионным дрвебом, проходит как нож сквозь масло и шифрует хаотично ключом RSA экселовские, доковские и джпеговские файлы на машине. Поскольку это не удаление, прав пользоватлея на такое действие вполне хватило.
На рабочем столе вешает txt-файлик с координатами , по которым нужно обращаться для valut-ключа который поможет дешифровать данные обратно и примерной суммой в долларах, сколько это будет стоить (зависит от количества зашифрованных файлов). Нашему юзеру 280 уе насчитали, оплата биткоинами :)
Есть вопросы:
1) По статье УК это мошенничество или вымогательство? Имееет ли перспективы дело, если со всеми данными прийти к ментам?
Мы хоть и "белая" компания, но всё равно тащить свой сервер целиком на экспертизу в отдел R как-то неохота (всё произошло на терминальной винде, в пределах 1 рабочего стола).
2) 2 Хиппи: Володь, у вас же былО такое? Чем завершили? Файлы тупо похерили? Кейсов с похожей продлемой на хелпдеске веба висит несколько сотен, похоже решения для дешифровки файлов они найти не смогут, только на очистку системы.
3) Чем защитится в будущем? Стандартные методы "не открывать незнакомые файлы и пр" уже не работают. Социальная инженерия прекрасно умеет мимикрировать, напомню, письмо пришло из "белого списка" адресов, в нём вполне вменяемый текст.
Да что там, честно скажу - я бы сам спокойно щёлкнул бы по этой ссылке, потому что она выглядит мирно: типа *ссылка удалена* сверки.zip и нигде не видно, что он будет подменяться на джава-скрипт-файло. Джаву полностью отключить невозможно, у нас на ей интернет-банкинг работает :(
ковыряющщийся
Teapot
Комментарии
Войдите или зарегистрируйтесь, чтобы оставить комментарий
Другие записи автора
急須
ОФФ: долгожданный отчёт по Питеру и дороге :)
В Питере всё по прежнему. Ветер, промозгля и депрессуха. Сверху сыплется нечто среднее между ледяным крошевом и дождём. В прошлом году питерские службы решились на эксперимент и не использовали соль и...
急須
1 фото
ОФФ: ну чот, долетит до МСК "ледяной дождь"...
...как думаете? Или не долетит? Сегодняшние сводки: в 100 км от МСК по киевке всё напрочь в ледяной коросте, на линии от Обнинска до Боровска 17 обрывов проводов (тока что собачился с энергетками), го...
急須
ФуллОФФ: читайте инструкции к авте...
...особенно если у вас пневмоподвеска. Картинка не для послеобеденного лицезрения Чувак нелепо в ящик сыграл - рейндж-ровер ему голову расплющил Сначала говорили, что машина с домкрата упала. Но на фо...
急須
2 фото
ОФФ, опрос про... дворники :)
Наступает время адских грязевых разводов на стекле, немеряного расхода вонючей жижи и страданий от бликов фар в темноте зимних вечеров. Посему спрошу общественность: граждане, а с какими дворниками вы...
急須
ОФФ: "Волшебники" в базе штрафов ГИБДД сидят
...не иначе. Чудеса как в тридевятом царстве. Где-то месяц назад проверял себя на штрафы. На госуслугах - нет, на сайте ГИБДД болтается с 14 года мелкий штраф, который почему-то не вычеркнулся, под не...
急須
ОФФ: Здесь всё знают(с) Светодиодные светильники
...в офис подыскиваю я тут. Которые в обычный армстронговский потолок вкрячиваются заместо обычных на люминесцентках. Разброс цен в интернетиках от 800 руб до 4 тыщ, и это пугает... Значит есть подвод...
急須
1 фото
ОФФ: Ровно год назад
...я залез в пахнущую свежевыплавленной пластмассой наше-марку и выехал с территории дилера, дивясь мягкой гидравлической педали сцепления и высокой "джиповой" посадке. Ага, сегодня исполняется годик...
急須
ОФФ: кто у нас в яблочных фичах гуру, просвятите мну
Чот активно форсят по всем новостным каналам платёжную систему Appe Pay. Типа гиперудобно и всё такое. У нас кое-кто уже собирается брать "семёрку" для того чтобы смочь платить в макжраке красивым жес...
急須
ОФФ: А на Киржаче была золотая осень, клёво!
Я был тока в субботу, фотик не брал, потому тока видео и ока вид сверху на окрестное безобразие. Есливидеонепоказываетнажатьздесь Чую весной мы обнеружим, что Чёрная Горка имеет два берега: один у рек...
急須
ОФФ. история из жизни про "все же свои"
Не могу не поделиться захватывающим сериалом, который прямо сейчас у меня перед глазами разворачивается. Работает (точнее уже работал) у нас водитель, ничем не примечательный и ничем не выделяющийся п...
急須
ОФФ полный, тоже про билеты
...только не на игромир, а на самолётные. Аккуратнее, граждане. Оч ловкая штучка, которую я бы например с первого взгляда точно не распознал. https соединение, 3D secure, сертификат Let's Encrypt... П...
急須
1 фото
ОФФ: Эй, кто в крым ездил, видели новую тамошнюю...
...достопримечательность? Под евпаторием, большой атлеш. Местные экскурсии на лодках возят посмотреть. Кран подогнать низя, грунт слабый, такчта это паходу навсегда. Ну или пока само не сгниёт и не вы...
急須
ОФФ про виндофс 10, просто поделиццо
Вот помню времена виндофс ХП. Полгода-год система жила, постепенно засираясь непонятным мусором, работая всё медленнее и глюкавее, и требовала переустановки "с нуля". С форматированием диска, с запуск...
急須
1 фото
ФуллОФФ: вcтретил бы я такое на горном серпантине...
...тут же остановился бы поспать, решив что у меня глюки от усталости. Мощное видево, объясняющее почему и зачем транспортируют именно так: с искренним респектом китайским инженерам и водителям Teapot...
急須
1 фото
Пра ОКУ. С просторв интырнету
Чо ваще происходит-то? Скатывающуюся с неработающим ручником оку можно спокойно остановить руками. случайно наткнувшийся Teapot
急須
1 фото
ОФФ: Срочная ЭВАКУАЦИЯ! Все из города - на Киржач!
IT`S PANIC TIME! Сайентологи предвещают гибель вселенной, синоптики поскромнее, но тоже ничего хорошего не прогнозируют: на этих выходных мегаполис раскалится до 33 градусов и всякая органическая жизн...
急須
2 фото
ФуллОФФ: Отдам даром, никому не нать?
1) Магнитолу с мп3 "синяя точка". Радиво работает 100%, диск - не знаю, мильён лет не включал. 2) игровую когда то крутую видеокарту "Гы-Сила". Местами мерзко гудит кулер, в остальном рабочая. самовын...