• Kolejny pula ostrzega klientów. "Złośliwe oprogramowanie"
  • Globalny ranking prędkości globalnej sieci. Polska zaliczyła awans, jednak do podium mamy daleko
  • Koniec piractwa, czy cenzurka w internecie? Emocje naokoło propozycji reformy prawa autorskiego
  • Kradzież na RODO. Obserwacja na nowy sposób naciągaczy
  • Uwaga na fałszywe "bony" do Biedronki. Oszuści wyłudzają dane

Trwa ofensywa hakerów podszywających się pod operatorów sieciowych. - Oszuści znowu wysyłają na skrzynki mailowe wadliwe faktury z wirusem przy załączniku - ostrzega rzecznik sieci Play.

"Oszuści znowu uderzają na skrzynki pocztowe. Faktury najlepiej sprawdzać na Play24, gdzie znajdziecie aktualne i prawdziwe informacje! " - czytamy przy tweecie Marcina Gruszki, rzecznika prasowego Play.

Operator zgłosił już sprawę do odwiedzenia organów ścigania.

Oszuści znowu uderzają na skrzynki pocztowe. Faktury najlepiej sprawdzać na Play24, gdzie możecie znaleźć aktualne i prawdziwe wiadomości!

— Marcin Gruszka (@RzecznikPlay) 4 stycznia 2017

Przypomnijmy, że obecnie w grudniu ub. r. rzecznik radził, by nie zaakceptować otwierać podejrzanych wiadomości.

"Proszę kiedy dostaniecie dziwną informację o fakturze najlepiej nie otwierajcie takiego maila. A kiedy już do odwiedzenia niego zajrzycie proszę odrzucić otwierajcie załączników pod jakimkolwiek bądź pozorem. To nie są nasze faktury! Polecam w razie wątpliwości sprawdzić stan swoich płatności na PLAY24. Jeżeli nie jesteście kontrahentem PLAY to pewne, hdy mail jest elementem ataku" - możemy przeczytać przy grudniowym wpisie na wortalu rzecznika Play.

Faktura Play

Cyberwojna obstaje. Ekspert wyjaśnia krok według kroku, jak działają hakerzy

Tym razem chodzi na temat kampanię hakerów, która ruszyła pod koniec ubiegłego roku kalendarzowego. Znacznie groźniejszą niż poprzednia i dodatkowo, bardzo właściwie przygotowaną.

Jednym z kilkorgu elementów ostrzegających o potencjalnym zagrożeniu jest bowiem deficyt polskich znaków w treści wiadomości. Wszystko inne pozostanie zbliżone do właściwych maili, tych wysyłanych przez operatora.

"Adresem nadawcy stało się [email protected] pl - jak na przykład w oryginale. Zgadzał się także temat wiadomości a także jej format i tekst. W treści dokumentu znajdował się numer faktury i kwota, a wszystkie linki prowadziły do prawdziwego strony firmy Play. Co większą ilość wiadomości, kliknięcie w nie wyświetlało stronę, na której zgadzał się numer faktury jak i również kwota (parametry były przekazywane w URLu)" - wykrywa portal Zaufana Trzecia Witryna www.

Dla niektórych nabywców wiadomości były również spersonalizowane, co dodatkowo budowało pierwotnego zaufanie.

Czerwona lampka powinna nam się zapalić jednak w momencie, gdy mieliśmy otworzyć rzekomą fakturę. W załączniku do wiadomości zamieszczone było bowiem archiwum RAR, a nie jakim sposobem zawsze w takich przykładach - plik o rozszerzeniu PDF.

Złośliwy skrypt

Otwarcie plików grozi poważnymi konsekwencjami dla ofiary. Całość za sprawą metody użytej przez oszustów, która omija mechanizmy antywirusowe.

Ściągany przez ofiarę spakowany folder zawiera bowiem dwa inne pliki - kolejne archiwum (zabezpieczone hasłem) oraz pakiet tekstowy z informacją na temat haśle. I to właśnie po odpakowaniu drugiego archiwum ofiara można uruchomić złośliwy skrypt na swoim kompie.

Na co umożliwia owy skrypt? Jak wskazuje Zaufana Trzecia Strona, umie on połączyć się do zdefiniowanego serwera przestępcy jak i również wykonywać jego żądania. Posiada także mechanizmy zapewniające jego "przeżywalność" oraz sprytne mechanizmy rozprzestrzeniania się (np. przez napędy USB).

Sam złośliwy skrypt wyposażony jest dodatkowo w podstawowy zestaw komend, ale są one wystarczające, żeby przeprowadzić dalsze operacje za pomocą komputera, takie jak instalacja innego złośliwego oprogramowania, wykradzenie albo zniszczenie danych użytkownika a mianowicie czytamy.

Co uczynić?

Atakuje programy i kradnie dane. Uwaga na mobilny wirus bankowy

Istnieją jednak pewne rodzaje walki ze złośliwym skryptem. Należy jednak w takowej sytuacji zwrócić uwagę na tek krok, czy w momencie otwierania załącznika mieliśmy podłączone do naszego komputera urządzenie USB.

Gdy w systemie zainstalowany jest "jedynie" złośliwy skrypt, w pierwszym kroku powinniśmy uruchomić "Menedżera zadań", wynaleźć proces "wscript. exe", kliknąć na nim prawym przyciskiem myszki i wybrać alternatywę "Zakończ proces".

To jednak nie koniec. Trzeba ponadto otworzyć edytor rejestru (start> uruchom i wpisać refedit. exe), a w następnej kolejności skasować klucze: "HKCU Software Microsoft Windows CurrentVersion Run TFR0ELUFV8" oraz "HKLMvjw0rm". Potrzebne jest również usunięcie skryptu z katalogów: "C: UsersAppData Roaming Microsoft Windows Start Menu Programs Startup" i "C: Users AppData Local Temp" - wskazuje Zaufana Trzecia Strona.

Wówczas do poprawnego zakończenia pucowania pozostaje już tylko reset komputera. Jeżeli w czasie otwierania rzekomej faktury mieliśmy podłączony dysk USB albo pendrive, mechanizm czyszczenia wydaje się być nieco inny.

Wówczas należy włączyć pokazywanie plików oraz folderów ukrytych i systemowych oraz rozszerzenia plików, a następnie przejść do odwiedzenia głównego katalogu napędu USB. Potem trzeba odnaleźć złośliwy plik JS i go skasować.

Ponadto potrzebne jest również usunięcie wszelkich skrótów (*. lnk) do plików i katalogów znajdujących się na napędzie USB. Branżowy portal zauważa na dodatek, że skróty utworzone istnieją także w podkatalogach, spośród których także trzeba gryzie wyczyścić.