Перейти к содержимому

- - - - -

Рассылают письма с вирусом


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 17

#1 DenNech

DenNech

    Продвинутый пользователь

  • Пользователь
  • PipPipPip
  • 822 сообщений
671

Отправлено 22 Февраль 2017 - 07:24

Друзья, похоже по базе email'ов с нашего форума рассылают письма "счастья" с вирусом внутри.
Если уже получили письмо от  "Первого Эталонного радио", не открывайте вложенный файл.
Текст в письме такой:

В конце прошлой недели отправили Вам по почте оригиналы счетов-фактур за рекламу.
На случай, если документация по почте еще не пришла, дублирую скан-копии - во вложенном файле.
Согласно нашим договоренностям Вам необходимо закрыть часть суммы до 1 марта.
С уважением к Вашему бизнесу,
Первое Эталонное радио

#2 Балдук Андрей

Балдук Андрей

    ТУТОЧКИ МЫ!

  • Диктор
  • PipPipPip
  • 4 322 сообщений
3 802

Отправлено 22 Февраль 2017 - 08:25

я уже думал ни кто на такое внимание не обращает))
мне аж два пришло))) но видно сразу чертей)))

#3 DenNech

DenNech

    Продвинутый пользователь

  • Пользователь
  • PipPipPip
  • 822 сообщений
671

Отправлено 22 Февраль 2017 - 08:39

Тут прям целевая атака на нашего брата))) от Первого Эталонного Радио

#4 Карабанов Александр

Карабанов Александр

    Пишу музыку

  • Пользователь
  • PipPipPip
  • 2 189 сообщений
3 080

Отправлено 22 Февраль 2017 - 08:59

Запросы идут совсем с других адресов. Просто подписываются Первым Эталонным. Так что наш Брат, как раз, совсем не причем)

#5 Алексей Лазарев

Алексей Лазарев

    Звукомастер

  • Пользователь
  • PipPipPip
  • 1 666 сообщений
1 608

Отправлено 22 Февраль 2017 - 10:01

Да, тоже был атакован) но не открыл, ибо в спаме

#6 Евгений Прохоров

Евгений Прохоров

    Продвинутый пользователь

  • Диктор
  • PipPipPip
  • 597 сообщений
1 026

Отправлено 22 Февраль 2017 - 10:24

А Игорю-то кто-нить написал?

#7 Макс Маслов

Макс Маслов

    Диктор ИП

  • Модератор
  • 1 885 сообщений
3 702

Отправлено 22 Февраль 2017 - 10:29

Просмотр сообщенияЕвгений Прохоров (22 Февраль 2017 - 10:24) писал:

А Игорю-то кто-нить написал?
Какому?
Если ты про Лукоянов, то у них радио Эталон.

И ваще...латентные грамарнаци сразу забракуют такое название радиостанции... эталон может быть ОДИН)) А то первое..первое!)

#8 Евгений Прохоров

Евгений Прохоров

    Продвинутый пользователь

  • Диктор
  • PipPipPip
  • 597 сообщений
1 026

Отправлено 22 Февраль 2017 - 10:44

Просмотр сообщенияМакс Маслов (22 Февраль 2017 - 10:29) писал:

Какому?
Если ты про Лукоянов, то у них радио Эталон.

И ваще...латентные грамарнаци сразу забракуют такое название радиостанции... эталон может быть ОДИН)) А то первое..первое!)


А у меня Игоря почта как "Первое Эталонное идентифицирует"!
ну, не суть

#9 Карабанов Александр

Карабанов Александр

    Пишу музыку

  • Пользователь
  • PipPipPip
  • 2 189 сообщений
3 080

Отправлено 22 Февраль 2017 - 11:06

Игорь в курсе. Даже рассылку делал:
ВНИМАНИЕ!!!
Возможно в Вашу почту приходят письма от имени Первого Эталонного радио...
Письма НЕ С НАШЕГО АДРЕСА!!!
(хотя кто-то рассылает их от нашего имени)

Не реагируйте на них!!!!
Ничего не открывайте!!!!
(возможно вирус)
Кто-то увел всю нашу активную базу адресов ещё года два назад и периодически такое происходит.
Приносим свои извинения за неудобство!....

Наши рабочие адреса:
sarafan-ne@ya.ru
etalon-ne@ya.ru

#10 Влад Купряшин

Влад Купряшин

    Слет дикторов в СПБ! 30 сентября 2023г.

  • Модератор
  • 5 690 сообщений
7 781

Отправлено 22 Февраль 2017 - 14:36

Просмотр сообщенияЕвгений Прохоров (22 Февраль 2017 - 10:24) писал:

А Игорю-то кто-нить написал?
Он делал рассылку в аське и ФБ

#11 Ляпунов Алексей

Ляпунов Алексей

    Всё будет запишись!

  • Модератор
  • 1 957 сообщений
4 656

Отправлено 22 Февраль 2017 - 16:12

В последнее время от знакомых ещё шлют спам про больных племянниц

#12 Виктор Сергеевич

Виктор Сергеевич

    Звукорежиссер / Диктор

  • Диктор
  • PipPipPip
  • 2 029 сообщений
1 200

Отправлено 22 Февраль 2017 - 19:42

Сообщил в мылру что самозванцы используют их почтовый сервер для отправки.


Цитата

Тема:    Расчет февраль 2016
От:    Первое Эталонное радио <info@mobeln.ru>
Дата:    Срд, 22 Фев 2017, 05:32
Кому:    viktors <viktors@fastmedia.lv>
Срочность:    Обычное


В конце прошлой недели выслали по Вашему почтовому адресу документов первичных
док-ов (в т.ч. - счета за рекламу). На случай, если документация по почте еще не
пришла, дублирую копии - в приложении.
Согласно нашим договоренностям Вам необходимо закрыть часть суммы до пятницы.
С уважением к Вашему бизнесу,
Первое Эталонное радио



Цитата

Вложения:
Сч-фактуры февраль.doc 200 k  




Delivery-date: Wed, 22 Feb 2017 05:32:33 +0200
Received: from sendmail8.hostland.ru ([185.26.123.238])
	 by fastmedia.lv with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32)
	 (Exim 4.72)
	 (envelope-from <info@mobeln.ru>)
	 id 1cgNfM-0005jp-QX
	 for viktors@fastmedia.lv; Wed, 22 Feb 2017 05:32:33 +0200
Received: from f205.i.mail.ru (f205.i.mail.ru [94.100.185.66])
	 (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
	 (No client certificate requested)
	 (Authenticated sender: info@mobeln.ru)
	 by sendmail8.hostland.ru (Postfix) with ESMTPSA id 0AE0A7A0130
	 for <viktors@fastmedia.lv>; Wed, 22 Feb 2017 06:32:32 +0300 (MSK)

Цитата

X-Mailer: Mail.Ru Mailer 1.0


#13 Pavelg

Pavelg

    Продвинутый пользователь

  • Пользователь
  • PipPipPip
  • 162 сообщений
174

Отправлено 24 Февраль 2017 - 00:27

О! Я думал, только мне такая хрень пришла, а тут оказывается вон оно как!... :mda:/>
Ну, вроде, слава богу, обошлось без жертв...

#14 Dmitriy Retunskih

Dmitriy Retunskih

    Продвинутый пользователь

  • Пользователь
  • PipPipPip
  • 326 сообщений
226

Отправлено 25 Февраль 2017 - 21:04

вирусы еще существуют?

#15 Виктор Сергеевич

Виктор Сергеевич

    Звукорежиссер / Диктор

  • Диктор
  • PipPipPip
  • 2 029 сообщений
1 200

Отправлено 26 Февраль 2017 - 04:08

Были, есть, и будут, есть))))

#16 алексей капустин

алексей капустин

    Продвинутый пользователь

  • Пользователь
  • PipPipPip
  • 4 593 сообщений
2 506

Отправлено 26 Февраль 2017 - 12:41

а от меня ничего никому не приходило? сегодня утром мейл ру сказал, что пароль от ящика скормпрометирован, пришлось через тел авторизоваться и менять пароль

#17 OlegKachanko

OlegKachanko

    Редактор

  • Редактор
  • PipPipPip
  • 492 сообщений
707

Отправлено 26 Февраль 2017 - 14:59

Тоже, пришло, не поленился, отправил заразу в лабораторию Касперского:
это абсолютно новая сигнатура вирус Trojan-Downloader.MSWord.Agent.bcw (с признаками Trojan-Exploit / Trojan-Dropper)
что делает:
- в целом использует дыры в безопасности системы и MS Office для последующего проникновения в систему и установки зловредов
- в конкретно этом случае - при попытке открыть файл WORD-ом (всего лишь!) в автозагрузку пишется rdpclip - это Windows терминальный клиент - программа для удаленного управления компом, это не проблема, на самом деле, однако параметры запуска этого клиента на машине позволяют удаленно устанавливать любой скрытый софт, в этом случае устанавливается шифровщик файлов, который при простое машины быстренько шифрует все недавно использованное в форматах .doc, .docx, xls итп - т.е. всю документацию, затем вылезает окошко с требованием оплатить дешифровку.

Напрягает - что это зараза спокойно срабатывает при:
- всех обновлениях ОС
- обновленном антивирусе
- политиках MS Office по не запуску скриптов.
- работающем UAD

Также известно, что в реальных файлах офиса эта штука срабатывает не всегда, т.е. на машине могут быть зараженные скриптом doc, которые редактируются, не распознаются антивирусами (в т.ч. virustotal), но в какой-то момент вредоносный код все же запускается.

В Касперском говорят, что сигнатуру поместили в обновление баз, но вирус мутирует и в другом случае опять нужно выяснять новую сигнатуру вируса, пока реально обезопасить себя:
1. Контролировать реестр и секции автозапуска, любую установку программ/служб итд, явно разрешая это в каждом случае.
2. По возможности работать под юзером (но это не спасает на 100%, т.к. терминальный сервис запускается с админскими правами)

Что сделал я:
Перевел Касперский в режим защищенных программ, при котором, как я понял, допускается запустить только программы, установленные сейчас на машине и блокируется все остальное - тормозит запуск программ немного, но в целом ОК.
Также в Касперском есть режим защиты от руткитов - тоже включил

В общем - опасная зараза, эксплуатирующая пока не определенные бреши в системе, в частности в MS Office и в системе терминалов Windows всех версий.

#18 Carpov

Carpov

    Продвинутый пользователь

  • Пользователь
  • PipPipPip
  • 706 сообщений
1 299

Отправлено 27 Февраль 2017 - 09:16

Надеюсь на смартфоны не действует этот вирус...Ибо я письмо с телефона пытался открыть




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных