Jump to content

Jauns vīrusa izplatīšanās veids


Ronalds
 Share

Recommended Posts

Šorīt saņēmu sekojošu mailu 
 

Delivered-To: ronalds@rsc.lv
Received: by 10.36.61.1 with SMTP id n1csp37140itn;
Mon, 26 Jan 2015 21:33:20 -0800 (PST)
X-Received: by 10.152.42.198 with SMTP id q6mr1921883lal.48.1422336799539;
Mon, 26 Jan 2015 21:33:19 -0800 (PST)
Return-Path: <www-data@raptor.graftonit.lv>
Received: from raptor.graftonit.lv (raptor.graftonit.lv. [92.240.69.8])
by mx.google.com with ESMTPS id xz9si149190lbb.82.2015.01.26.21.33.18
for <ronalds@rsc.lv>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 26 Jan 2015 21:33:19 -0800 (PST)
Received-SPF: none (google.com: www-data@raptor.graftonit.lv does not designate permitted sender hosts) client-ip=92.240.69.8;
Authentication-Results: mx.google.com;
spf=none (google.com: www-data@raptor.graftonit.lv does not designate permitted sender hosts) smtp.mail=www-data@raptor.graftonit.lv
Received: from raptor.graftonit.lv (localhost [127.0.0.1])
    by raptor.graftonit.lv (Postfix) with ESMTP id CC07385F51
    for <ronalds@rsc.lv>; Tue, 27 Jan 2015 07:33:17 +0200 (EET)
Received: by raptor.graftonit.lv (Postfix, from userid 33)
    id CB42485F66; Tue, 27 Jan 2015 07:33:17 +0200 (EET)
To: ronalds@rsc.lv
Subject: Neapmaksats rekins!
X-PHP-Originating-Script: 33:cdr.php
From: Anita Praule <anita.praule@solomux.lv>
Reply-To: anita.praule@solomux.lv
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-Id: <20150127053317.CB42485F66@raptor.graftonit.lv>
Date: Tue, 27 Jan 2015 07:33:17 +0200 (EET)
X-Virus-Scanned: ClamAV using ClamSMTP


Labrit,

Pec musu gramatvedibas datiem, jums ir neapmaksats rekins pret musu uznemumu. Ludzam steidzami veikt apmaksu!!!

Rekina kopija http://failiem.lv/u/lwknylw#(Links speciāli sabojāts ar # beigās)

 
 
Skaidrs ka linkā pdf.exe fails, kas  tiek atpazīts kā MSIL/Injector.HOLE trojan. 
 
Tā kā Epasta teksts latviski un vīrusa glabāšanai izmantots failiem.lv, tad visticamākais ka mūsu pašu bāleliņi uzdarbojas - varbūt ir kāda iespēja viņus atrast un paņemt pie dziesmas! 
 
P.s Var jau būt ka tas nav nekas jauns, tomēr es ar šādu vīrusa izplatīšanas veidu pirmo reizi sastopos.
Labots - ronalds_
Link to comment
Share on other sites

Nja.. Mūsu "izcilā" grāmatvede šo arī atvēra.. tagad cīnos ar sekām. 

 

Tak cilvēkiem visu laiku saku lai never vaļā .. (doh)

Link to comment
Share on other sites

Nesaki gan. Es pat teiktu cilvēki ir padomājuši. No rīta saņēmām tādu pašu. Sūtīts tikai lietvedei, kas ar šo uzņēmumu sarakstījusies, bet nevienam no mums tehniskajiem. Lieki piebilst lietvede bija tā kas satrauktā balsī zvanīja, ka neesot apmaksāts rēķins un viņai neizdodoties lejupielādēt. Sūtītājs arī protams feiks, bet latvisks. Nav tur smith, katrin, vai abdulbinkautkas. Iespējams, ka vienkārši iekšējos from laukus aizpildījuši ar sagrābtajām adresēm.

 

Draza ļoti laba: https://malwr.com/analysis/NTVmMGI0ZTk1NGY3NDI0ZmE2Nzk5MDE1YTc2ZGY2YWU/

Link to comment
Share on other sites

Ooo, es jau zināju, ka šeit varēs pajautāt pēc palīdzības.

 

Sieva atvēra linku no telefona. Androidiem šis pasākums taču nav aktuāls? :stink:

 

Pieļauju, ka daudziem šis miegainais rīts beigsies bēdīgi :D

Link to comment
Share on other sites

Man po man ir labi organizēti backup'i.. 

 

Androidam arī vienalga.. tas ir exe fails ko uz windows atvērt. 

Link to comment
Share on other sites

matrixxxx

Dear Sir/Ma;
Please see attached and let us your best prices for the items listed.
Await reply
Kind regards,B/R

Akhlaq hussain

Pielikumaa pdf fails ar tekstu:

This document

is password

protected.

Click on OPEN to unlock file.

 

Zem open links:

www.cdsyasociados.com.ar/wp-includes/doc/

 

Kursh grib atveert to linku ?

Es neveeru.

Link to comment
Share on other sites

Tie kas sāņēma šādus epastus ar graftonu ir bijusi kāda darīšana? Interesē vai šie e-pastus dabūjuši no paša grafot, vai ievākuši citur un graftons tikai izmantots kā vārteja.

Link to comment
Share on other sites

Arī ienācās šorīt tāds no neeksistējoša domēna. Headeros tas pats raptor.graftonit.lv

Labi, ka Chrome neļāva grāmatvedei to atvērt, nagi jau niezēja, pat mēģināja atbildēt uz saņemto e-pastu.

 

Edit. Ar grafton.lv darīšana nav bijusi.

Labots - oxx
Link to comment
Share on other sites

androns1983

mums ar tika saņemts šis.

vai nu graftonā servaks nozagts vai vienkārši ļauj anonīmi sūtīt savā vārdā

Link to comment
Share on other sites

Ja kādam vēl interesē:
 
 
Jūsu dokumenti, bildes, datubāzes un citi svarīgi faili tika nošifrēti 
ar neuzlaužamu šifrēšanas algoritmu un atslēgu ģenerētu šim datoram.
 
Privātā atslēga failu atšifrēšanai ir noglabāta slēptā interneta serverī 
un nevienam nav iespējas atšifrēt jūsu failus tikmēr, kamēr jūs 
nesamaksāsiet prasīto summu lai saņemtu privāto atslēgu.
 
Ja jūs redzat galveno šifrētāja logu, sekojiet instrukcijām šifrētāja logā. 
Ja jūs vai jūsu antivīrus ir izdzēsis šifrēšanas programmu, tad jums ir 
pēdējā iespēja atšifrēt un atgūt failus.
 
Atveriet http://onja764ig6vah2jo.onion.cabvai http://onja764ig6vah2jo.tor2web.org interneta pārlūkā. 
Tie ir publiski vārti lai pieslēgtos slēptajam serverim.
 
Ja jums ir problēmas ar publiskajiem vārtiem, lietojiet tiešo pieslēgšanos:
 
1. Lejupielādējiet Tor Browser no http://torproject.org
 
2. Iekš Tor Browser atveriet http://onja764ig6vah2jo.onion/
   Iegaumējiet, ka šis serveris ir pieejams tikai caur Tor Browser. 
   Ja serveri nav iespējams ielādēt, atkārtojiet pieslēgšanos pēc 1 stundas.

Link to comment
Share on other sites

Jā, izskatās, ka sekretāre mums saņēmusi divus dažādus ar vienu linku - šamā uzreiz noignorēja (viņa parasti visu noignorē, ja vien nav facebook spēlīšu aicinājumi :D ), gramatvedība vēl nav saņēmusi :D

  • Patīk 1
Link to comment
Share on other sites

Arī zināmi šodien 2 gadījumi abi grāmatvežiem!

 

1. Symanteks noknieba linku

2. AVG ar visiem linku skaneriem ielada iekšā!

 

Šoreiz jau pieprasa nevis 0.5 bet gan 2 Bitcoinus  :rus_roulette:

Labots - GonZOo
Link to comment
Share on other sites

Tas tā tīri intereses pēc - vai bez lietvedes/grāmatvedes un minētās sekretāres kāds no darbiniekiem arī ir saņēmis, kam publiskāka e-pasta adrese? Piemēram šefs, pats, kāds no PR ja tāda lieta eksistē?

Labots - Dzonis
Link to comment
Share on other sites

Pašlaik pie manis ir saņēmušas tikai grāmatvedes.. Par laimi vienai no tām ir aizgājis spamos.. Symantec Endpoint Proctection visu smuki izlaida cauri un pamodās tikai tad kad es sāku ar Malwarebytes skenēt.. 

Link to comment
Share on other sites

erikonkulis

pabridinaju savu gramatvedi bet shii jau lietas kursaa.

Link to comment
Share on other sites

matrixxxx

Ir.

Muusu graamatvede buutu raavusi valjaa, es paspeeju pabriidinaat.

Nevienam citam uznjeemumaa taads mails nav naacis.

Link to comment
Share on other sites

Donkeyhot

Var vēl VP iesniegumu uzrakstīt pie reizes, lai šie arī nedaudz pakustās lietas labā. Tā tomēr ir izspiešana, par ko ir pants.

Link to comment
Share on other sites

Mezavecis

Grāmatvedēm vajadzētu tomēr zināt, ka rēķinus neviens neglabā uz kaut kādiem failiem.lv vai mistiskā saitā, it sevišķi, ja kaut kas nav apmaksāts. 

 

 

Pašlaik pie manis ir saņēmušas tikai grāmatvedes..
 

 

Un jā, loterijā nav iespējams vinnēt tajā nepiedaloties :)

  • Patīk 1
Link to comment
Share on other sites

 

 

Grāmatvedēm vajadzētu tomēr zināt, ka rēķinus neviens neglabā uz kaut kādiem failiem.lv vai mistiskā saitā, it sevišķi, ja kaut kas nav apmaksāts. 
 

 

Tieši tā.. Viņām ir tas teikts 100 un vienu reizi.. bet vai kāds manī klausās - nē.. Pašas gudras. 

Link to comment
Share on other sites

Pats labākais ka no www.metascan-online.com piedāvātajiem vīrusu meklēšanas servisiem tikai ESET atrada vīrusu - visi pārējie, kas tur ir vairāki desmiti neko neatrada! Sanāk ka antivīrusi pret šo ir bezjēdzīgi! 

Un epasts speciāli veidots lai grāmatveži uzrautos! 


P.s Uzzināju ka dažas grāmatvedes ir mēģinājušas vērt vaļā - bet cryptoprevent saliktās software restriction policies ir nostrādājušas un nav varējušas vīrusu atvērt. Bet nu brr... Cik var teikt ka tamlīdzīgus epastus jāignorē.... :( 

  • Patīk 1
Link to comment
Share on other sites

Dator guru, paskaidrojiet dator diletantam, huļe antivirūsi nepārķer tos izpildāmos failus, jā jā arī slaveno kriptēšanas zarazu? Tikai nepiedāvājiet man pašam atvērt un pārbaudīt :)

Link to comment
Share on other sites

Mezavecis

Epastā vienmēr uzrāda rēķina numuru, datumu un kam tas adresēts. Apskaties vēlreiz, ko tie G4S un citi kantori sūta. 

 

 

jebkurš grāmatvedis uz šādu tekstu uztraukti reaģē:
 
Link to comment
Share on other sites

 

 

huļe antivirūsi nepārķer tos izpildāmos failus, jā jā arī slaveno kriptēšanas zarazu?

 

Antivīrusi meklē sev zināmās signatures - ciparu virknes. Principā katram jaunajam variantam var pamainīt šo izpildāmo failu, tā lai viņu antivīrusi vairs nepazītu. 

 

 

 

Es neiebraucu?šitas kriptē failus vai kā?
Es pats gan nemēģināju laist, bet tauta saka ka kriptē. Un prasa apaļas summiņās par dešifrācijas atslēgu. 
Link to comment
Share on other sites

viesturs0711

Man radiniece grāmatvede ar uzrāvās isi pēc plkst 8.


Prasot 300 zaļos


Kādi vispār ir varianti no šī tikt laukā?

Link to comment
Share on other sites

Ja datiem nav rezerves kopiju un viņi svarīgi, tad neko nedarīt un maksāt... Diemžēl.

 

Bet tā jau izdzēst šo zarazu elementāri - iztīram temp un appdata folderi, izdzēšam registry ierakstu. Bet dati paliek šifrēti. Var provēt slēgt HDD pie cita datora un ar kādu datu atjaunošanas softu skatīt dzēstos failus - dažreiz izdodoties vismaz daļu atjaunot. 

Labots - ronalds_
Link to comment
Share on other sites

 

 

Man radiniece grāmatvede ar uzrāvās isi pēc plkst 8. Prasot 300 zaļos Kādi vispār ir varianti no šī tikt laukā?

 

Ja nav backup tad ir skarbi.. var mēģināt maksāt, bet nav garantijas, ka kāds tev to key iedos.. 

Link to comment
Share on other sites

 

 

var mēģināt maksāt, bet nav garantijas, ka kāds tev to key iedos.. 
Cik lasīju par šo ārzemju forumos, tad dod gan viņi atšifrēšanas atslēgu. Jo šī zaraza domāta naudas izspiešanai. Ja nedotu atslēgu, neviens nemaksātu. 
Link to comment
Share on other sites

 

 

Antivīrusi meklē sev zināmās signatures - ciparu virknes
Skaidrs, vienkārši izsakoties vīruss ir svežaks, un antivīruss neatpazīst. 
Link to comment
Share on other sites

viesturs0711

 

 

Ja nav backup tad ir skarbi

 

Šoreiz ir skarbais variants. Tagad protams bekapi tikšot taisīti.

Link to comment
Share on other sites

Kādi vispār ir varianti no šī tikt laukā?

Tikt vaļā nav grūti, tikt pie datiem praktiski neeispējami, vai jāmaksā. Var mēģināt meklēt failu iepriekšējās versijas, ja tāda fīča nav atslēgta, bet pirms tam protams jāatbrīvojas no tās zarazas. 

Labots - androidz
Link to comment
Share on other sites

erikonkulis

buus laikam jaaizmeegjina uz sava nebackupotaa kompja :yahoo: :yahoo: :yahoo: :yahoo: :yahoo:

Link to comment
Share on other sites

Var mēģināt skatīties vai volume shadow copy nevar kaut ko atgriezt, ja šī funkcija bijusi ieslēgta (labē peles poga uz mapes un vai uzrādās "Restore previous versions" ).

Lieta ko varētu izsaktīt:

Pirmo sen uzliku un vienīgais ko vajadzēja pielabot ir saistībā ar java apdeitu (bet tā jau sen no visiem iespējamiem kompjiem izravēta):

http://community.spiceworks.com/how_to/show/57422-deploying-a-whitelist-software-restriction-policy-to-prevent-cryptolocker-and-more

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Link to comment
Share on other sites

Inspektors Caps

 

 

Tieši tā.. Viņām ir tas teikts 100 un vienu reizi.. bet vai kāds manī klausās - nē.. Pašas gudras.

100 un 1 reizi arī administratoriem un citiem "speciālistiem" ir teikts, ka tādiem lietotājiem ir jāliek Standard user un Software Restriction Policies, kas vispār izslēdz iespēju palaist jebkādas neatļautas programmas. Bet vai kāds klausās? Nē - paši gudri!

Link to comment
Share on other sites

Guest
Slēgta tēma, pievienot komentāru nav iespējams.
 Share

×
×
  • Izveidot jaunu...