Рассылают письма с вирусом
#1
Отправлено 22 Февраль 2017 - 07:24
Если уже получили письмо от "Первого Эталонного радио", не открывайте вложенный файл.
Текст в письме такой:
В конце прошлой недели отправили Вам по почте оригиналы счетов-фактур за рекламу.
На случай, если документация по почте еще не пришла, дублирую скан-копии - во вложенном файле.
Согласно нашим договоренностям Вам необходимо закрыть часть суммы до 1 марта.
С уважением к Вашему бизнесу,
Первое Эталонное радио
#2
Отправлено 22 Февраль 2017 - 08:25
мне аж два пришло))) но видно сразу чертей)))
#3
Отправлено 22 Февраль 2017 - 08:39
#4
Отправлено 22 Февраль 2017 - 08:59
#5
Отправлено 22 Февраль 2017 - 10:01
#6
Отправлено 22 Февраль 2017 - 10:24
#8
Отправлено 22 Февраль 2017 - 10:44
Макс Маслов (22 Февраль 2017 - 10:29) писал:
Если ты про Лукоянов, то у них радио Эталон.
И ваще...латентные грамарнаци сразу забракуют такое название радиостанции... эталон может быть ОДИН)) А то первое..первое!)
А у меня Игоря почта как "Первое Эталонное идентифицирует"!
ну, не суть
#9
Отправлено 22 Февраль 2017 - 11:06
ВНИМАНИЕ!!!
Возможно в Вашу почту приходят письма от имени Первого Эталонного радио...
Письма НЕ С НАШЕГО АДРЕСА!!!
(хотя кто-то рассылает их от нашего имени)
Не реагируйте на них!!!!
Ничего не открывайте!!!!
(возможно вирус)
Кто-то увел всю нашу активную базу адресов ещё года два назад и периодически такое происходит.
Приносим свои извинения за неудобство!....
Наши рабочие адреса:
sarafan-ne@ya.ru
etalon-ne@ya.ru
#11
Отправлено 22 Февраль 2017 - 16:12
#12
Отправлено 22 Февраль 2017 - 19:42
Цитата
От: Первое Эталонное радио <info@mobeln.ru>
Дата: Срд, 22 Фев 2017, 05:32
Кому: viktors <viktors@fastmedia.lv>
Срочность: Обычное
В конце прошлой недели выслали по Вашему почтовому адресу документов первичных
док-ов (в т.ч. - счета за рекламу). На случай, если документация по почте еще не
пришла, дублирую копии - в приложении.
Согласно нашим договоренностям Вам необходимо закрыть часть суммы до пятницы.
С уважением к Вашему бизнесу,
Первое Эталонное радио
Цитата
Сч-фактуры февраль.doc 200 k
Delivery-date: Wed, 22 Feb 2017 05:32:33 +0200 Received: from sendmail8.hostland.ru ([185.26.123.238]) by fastmedia.lv with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32) (Exim 4.72) (envelope-from <info@mobeln.ru>) id 1cgNfM-0005jp-QX for viktors@fastmedia.lv; Wed, 22 Feb 2017 05:32:33 +0200 Received: from f205.i.mail.ru (f205.i.mail.ru [94.100.185.66]) (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) (Authenticated sender: info@mobeln.ru) by sendmail8.hostland.ru (Postfix) with ESMTPSA id 0AE0A7A0130 for <viktors@fastmedia.lv>; Wed, 22 Feb 2017 06:32:32 +0300 (MSK)
Цитата
#13
Отправлено 24 Февраль 2017 - 00:27
Ну, вроде, слава богу, обошлось без жертв...
#14
Отправлено 25 Февраль 2017 - 21:04
#15
Отправлено 26 Февраль 2017 - 04:08
#16
Отправлено 26 Февраль 2017 - 12:41
#17
Отправлено 26 Февраль 2017 - 14:59
это абсолютно новая сигнатура вирус Trojan-Downloader.MSWord.Agent.bcw (с признаками Trojan-Exploit / Trojan-Dropper)
что делает:
- в целом использует дыры в безопасности системы и MS Office для последующего проникновения в систему и установки зловредов
- в конкретно этом случае - при попытке открыть файл WORD-ом (всего лишь!) в автозагрузку пишется rdpclip - это Windows терминальный клиент - программа для удаленного управления компом, это не проблема, на самом деле, однако параметры запуска этого клиента на машине позволяют удаленно устанавливать любой скрытый софт, в этом случае устанавливается шифровщик файлов, который при простое машины быстренько шифрует все недавно использованное в форматах .doc, .docx, xls итп - т.е. всю документацию, затем вылезает окошко с требованием оплатить дешифровку.
Напрягает - что это зараза спокойно срабатывает при:
- всех обновлениях ОС
- обновленном антивирусе
- политиках MS Office по не запуску скриптов.
- работающем UAD
Также известно, что в реальных файлах офиса эта штука срабатывает не всегда, т.е. на машине могут быть зараженные скриптом doc, которые редактируются, не распознаются антивирусами (в т.ч. virustotal), но в какой-то момент вредоносный код все же запускается.
В Касперском говорят, что сигнатуру поместили в обновление баз, но вирус мутирует и в другом случае опять нужно выяснять новую сигнатуру вируса, пока реально обезопасить себя:
1. Контролировать реестр и секции автозапуска, любую установку программ/служб итд, явно разрешая это в каждом случае.
2. По возможности работать под юзером (но это не спасает на 100%, т.к. терминальный сервис запускается с админскими правами)
Что сделал я:
Перевел Касперский в режим защищенных программ, при котором, как я понял, допускается запустить только программы, установленные сейчас на машине и блокируется все остальное - тормозит запуск программ немного, но в целом ОК.
Также в Касперском есть режим защиты от руткитов - тоже включил
В общем - опасная зараза, эксплуатирующая пока не определенные бреши в системе, в частности в MS Office и в системе терминалов Windows всех версий.
#18
Отправлено 27 Февраль 2017 - 09:16
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных