![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ammo1Фантазия злоумышленников безгранична. Сегодня расскажу о способе отъёма денег у организаций, основанным на социальной инженерии 80 уровня.
Итак, в бухгалтерию организации по электронной почте приходит письмо от реального контрагента с темой «Акт сверки». В письме просят подтвердить наличие задолженности или оплату счетом. Во вложении как бы тот самый акт сверки или счета. 99.9% бухгалтеров откроют вложение такого письма.
Бывают варианты ещё прекрасней, например такой:
«Здравствуйте, нам прокуратура прислала письмо с требованием предоставить все договора с вашим предприятием. Не знаю, что они там "копают", но думаю, Вам будет интересно ознакомиться (запрос в приложении). Ответьте, все ли нормально, и можем ли мы им показывать все контракты.»
Разумеется, вместо документа там вирус-шифровальщик. У исполняемого файла иконка, как у картинки или документа и название, вроде «Акт сверки.doc.exe». После запуска файла Windows может предупредить о том, что запускается программа, но многие не обращают на это внимания.
Программа шифрует файлы: xls, xlsx, doc, docx, pdf, jpg, cd, jpeg, 1cd, rar, mdb, zip с помощью GnuPG. Зашифрованные файлы получают расширение «paycrypt@gmail_com», «.SOS@AUSI.COM_FG177» или подобные. Далее вирус рассылает аналогичное письмо с модифицированным содержанием 10 контрагентам пользователя. Затем на рабочем столе или в корне диска С: появляется файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt", в котором сообщается, что компьютер был атакован опаснейшим вирусом, вся информация зашифрована и даются инструкции о том, как информацию вернуть. Вымогатели запрашивают от €120 до €900. Некоторым называют сумму в зависимости от количества зашифрованных данных. Разумеется, нет никакой гарантии, что после оплаты действительно высылается ключ и файлы можно будет расшифровывать.
Никаких шансов расшифровать файлы нет. Эффективных алгоритмов взлома шифра RSA сне существует. Ключ для расшифровки данных можно получить только у автора троянца. Многие пытаются найти в интернете ключ для расшифровки, но этого бесполезно - на каждом компьютере ключ свой.
Выводы:
1. Регулярно делайте резервные копии на внешние носители.
2. Расскажите своим бухгалтерам об этой опасности.
3. Настраивайте компьютеры не очень квалифицированных пользователей так, чтобы невозможно было запустить ни один посторонний исполняемый файл.
p.s. Спасибо за информацию о вирусе генеральному директору компании IT Mix Дмитрию Двойникову.
Итак, в бухгалтерию организации по электронной почте приходит письмо от реального контрагента с темой «Акт сверки». В письме просят подтвердить наличие задолженности или оплату счетом. Во вложении как бы тот самый акт сверки или счета. 99.9% бухгалтеров откроют вложение такого письма.
Бывают варианты ещё прекрасней, например такой:
«Здравствуйте, нам прокуратура прислала письмо с требованием предоставить все договора с вашим предприятием. Не знаю, что они там "копают", но думаю, Вам будет интересно ознакомиться (запрос в приложении). Ответьте, все ли нормально, и можем ли мы им показывать все контракты.»
Разумеется, вместо документа там вирус-шифровальщик. У исполняемого файла иконка, как у картинки или документа и название, вроде «Акт сверки.doc.exe». После запуска файла Windows может предупредить о том, что запускается программа, но многие не обращают на это внимания.
Программа шифрует файлы: xls, xlsx, doc, docx, pdf, jpg, cd, jpeg, 1cd, rar, mdb, zip с помощью GnuPG. Зашифрованные файлы получают расширение «paycrypt@gmail_com», «.SOS@AUSI.COM_FG177» или подобные. Далее вирус рассылает аналогичное письмо с модифицированным содержанием 10 контрагентам пользователя. Затем на рабочем столе или в корне диска С: появляется файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt", в котором сообщается, что компьютер был атакован опаснейшим вирусом, вся информация зашифрована и даются инструкции о том, как информацию вернуть. Вымогатели запрашивают от €120 до €900. Некоторым называют сумму в зависимости от количества зашифрованных данных. Разумеется, нет никакой гарантии, что после оплаты действительно высылается ключ и файлы можно будет расшифровывать.
Никаких шансов расшифровать файлы нет. Эффективных алгоритмов взлома шифра RSA сне существует. Ключ для расшифровки данных можно получить только у автора троянца. Многие пытаются найти в интернете ключ для расшифровки, но этого бесполезно - на каждом компьютере ключ свой.
Выводы:
1. Регулярно делайте резервные копии на внешние носители.
2. Расскажите своим бухгалтерам об этой опасности.
3. Настраивайте компьютеры не очень квалифицированных пользователей так, чтобы невозможно было запустить ни один посторонний исполняемый файл.
p.s. Спасибо за информацию о вирусе генеральному директору компании IT Mix Дмитрию Двойникову.
Tags:
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 26 September 2014 07:12 (UTC)"Здравствуйте
Во вложении - ваш типовый договор с нашими правками.
Если наши замечания не критичны, хотелось бы организовать встречу и подписание. Жду Ваших комментариев."
"Здравствуйте,
Мы получили письмо счастья от налоговой - скан в приложении.
Требуют от нас предоставить всю первичку по нашим совместным проектам.
Посмотрите, пожалуйста, текст их запроса. У нас есть еще 2 рабочих дня на ответ. Возможно, не все следует им "показывать".
Надеюсь на оперативную обратную связь.
Вложения (1):
1. Запрос ФНС_25082014.zip "
no subject
Date: 26 September 2014 07:14 (UTC)no subject
Date: 26 September 2014 07:17 (UTC)no subject
Date: 26 September 2014 07:19 (UTC)no subject
Date: 26 September 2014 08:02 (UTC)У мошенников еще долго будет на хлеб с маслом. Да и с икрой пожалуй :)
no subject
Date: 26 September 2014 08:21 (UTC)В зипе-то что?
no subject
Date: 26 September 2014 08:22 (UTC)no subject
Date: 26 September 2014 08:23 (UTC)no subject
Date: 26 September 2014 09:00 (UTC)no subject
Date: 26 September 2014 09:01 (UTC)Гмм
Date: 26 September 2014 11:57 (UTC)Ссылочками с реальными примерами не порадуете?
Re: Гмм
Date: 26 September 2014 12:46 (UTC)Идем в поисковик и ищем по: keybtc@gmail_com
Ух как ного инфо всплывет.
У меня жена через это прошла на домашнем компе.
Re: Гмм
Date: 26 September 2014 12:57 (UTC)Ваша жена открыла файл именно с расширением PDF или нечто открой_меня_pdf.exe ?
PS Антивирусами не пользуетесь?
Re: Гмм
Date: 26 September 2014 14:36 (UTC)http://www.f-secure.com/v-descs/exploit_w32_pdf-payload_gen.shtml
расширения у файлов jpg и pdf.
ок
Date: 26 September 2014 15:23 (UTC)Re: Гмм
Date: 26 September 2014 17:39 (UTC)При чем ссылка была в виде файл.doc
Один клик. - и понеслось...
Антивирь был McAfee... Полное г... В итоге антивирь вернул деньги за подписку, и я устаноовил Касперского.
Как то так вкратце.
Re: Гмм
Date: 26 September 2014 17:59 (UTC)ИМХО в РФ есть только 2 нормальных антивируса - Каспер, которым давно и везде пользуюсь, включая работу и Dr.Web
Re: Гмм
Date: 26 September 2014 18:26 (UTC)Re: Гмм
From:Re: Гмм
From:no subject
Date: 26 September 2014 17:18 (UTC)Не понял, т.е. при открытии .jpg файл откроется acdsee или каким-то другим просмотровщиком, а также параллельно система будет заражена вирусом? Или имелось ввиду: Картинка.jpg.exe
no subject
Date: 27 September 2014 04:08 (UTC)zip - было лет 10 назад
jpg - года 3 назад. Заражение можно было получить просто открыв сайт с картинкой
pdf и doc - позволяет встраивать всякую бяку, но при открытии обычно предупреждает о потенциальной опасности, но кто читает эти предупреждения.
Используются дыры в программах просмотра, но эти дыры оперативно устраняются в обновлениях
Если меня просят отправить exe-шник, всегда прячу в zip т.к. в половине случаев exe файл застревает на сервере или в аутлуке. Однажды даже шифровал и посылал пароль в письме. (сервер не пускал)
no subject
Date: 28 September 2014 12:52 (UTC)no subject
Date: 26 September 2014 08:21 (UTC)no subject
Date: 26 September 2014 11:33 (UTC)no subject
Date: 26 September 2014 11:39 (UTC)Но к делу она не относится, так как мы говорим о почте, а в ней вложение показывается полностью.
Другое дело, что имя может быть ххх.doc< много пробелов >.exe