Uwaga na „niedostarczone przesyłki” od Poczty Polskiej

12 maja, 2015

Pod koniec marca informowaliśmy o pierwszej kampanii, której celem było zainfekowanie użytkowników szkodliwym oprogramowaniem szyfrującym pliki (CryptoLocker). Kilkanaście dni temu identyczny incydent opisywał Niebezpiecznik oraz Fundacja Bezpieczna Cyberprzestrzeń. Natomiast:

  1. Dzisiaj zgłosił się do nas czytelnik Rafał (dziękujemy za info), który został ofiarą identycznego spamu.
  2. Oraz Norbert, który utracił już dostęp do swoich ważnych plików.

Wszystkie te ostatnie kampanie, które wykorzystują wizerunek Poczty Polskiej mają jedno wspólne podłoże. Ktoś na swoich ofiarach próbuje zarobić niemałe pieniądze niskim kosztem własnym. 

poczta polska

„Kurier nie dostarczył przesyłkę do numeru zgłoszenia RR2188538397PL* na adres 11.07.2015*, ponieważ nikt w tym czasie. Proszę zobaczyć informację na temat wysyłki i iść na pocztę, aby otrzymać pakiet.”

– gdzie * mogą pojawiać się różne numery i daty.

poczta polska2

Link w wiadomości przekierowuje ofiarę do strony, na której proszona jest ona o przepisania kodu captcha i pobranie informacji o przesyłce. W archiwum znajduje się plik EXE udający ikoną rozszerzenie PDF. Po uruchomieniu „PDF-a” pobiera on z sieci konia trojańskiego, który z kolei ściąga i wykonuje Crypl0L0cker’a. Warto wiedzieć, że jakiekolwiek podłączone urządzenia do portów USB, a także dyski sieciowe są skanowane przez Crypl0L0cker’a w celu poszukiwania „pożądanych” rozszerzeń plików, które zostaną zaszyfrowane mocnym algorytmem RSA o kluczu 2048-bitowym. Odzyskanie plików jest „prawie” niemożliwe – ale o tym poniżej.

poczta polska3

Przestrzegamy przed ransomware, które szyfruje pliki na komputerze użytkownika i żąda okupu w Bitcoinach za ich odzyskanie. Szczególnie słowa te kierujemy do ofiar, które miały już do czynienia z „formatem” lub przywracaniem danych z kopii zapasowej.

Uczulamy także, aby korzystać z porządnego oprogramowania antywirusowego. Bardzo ciekawym składnikiem na tle konkurencji do ochrony przed Lockerami wybija się polskie oprogramowanie Arcabit. Moduł pod nazwą SafeStore został zaprojektowana w celu ochrony przed wszelkimi szkodnikami z rodziny MoneyPack szyfrującymi dane, a więc Ransomware i Locker’y. Działa ona w następujący sposób: kiedy skaner antywirusowy sprawdza każdy „dotykany” plik, niezależnie od tego, kto (jaki proces) go otwiera/zapisuje i jeśli rozszerzenie pliku jest zgodne z maskami (doc, docx, docm, xls, xlsx, xlsm, ppt, pptx, pptm, pps, ppsx, ppsm, odt, ods, odp, rtf, pdf, abw, dbk, dps, et, gsc, wps, jpg, jpe, jpeg, png, bmp, tif, tiff, psp, psd, wpd, sxw, sxc, wks, wk1, sxd) to kopia tego pliku jest robiona sprzed jego modyfikacji i trafia na listę w składniku ochrony SafeStorage (znajdziesz go w „narzędzia”). Każda nowa wersja pliku również jest wrzucana do SafeStorage, więc poniekąd SafeStorage pełni również rolę backupu-chwilówki. Pliki w SafeStorage są przetrzymywane przez 3 dni – potem są kasowane, ale pliki ponownie „dotknięte” zostaną znowu umieszczone na liście SafeStorage.

Niezależnie od używanego programu antywirusowego warto prewencyjnie przestrzegać kilka zasad:

  1. Twórz kopię zapasową najważniejszych plików, całych partycji lub migawek systemu.
  2. Aktualizuj aplikacje trzecie – będziesz mieć pewność, że przypadkowo odwiedzając szkodliwe strony internetowe nie zostaniesz ofiarą ataku drive-by z użyciem exploita.
  3. Upewnij się, że chroni Cię porządny program antywirusowy.
  4. Zachowaj ostrożność, gdy korzystasz z poczty. Nie otwieraj podejrzanych załączników oraz hiperłączy. Zwracaj uwagę na adres nadawcy (najedź myszą na nadawcę, aby zobaczyć jego adres – o ile przestępca nie zastosował bardziej zaawansowanego spoofing’u).

Jeśli wszystkie te punkty zawiodły a pliki i tak zostały zaszyfrowane, metoda na ich odzyskanie jest jedna i nie do końca skuteczna. Skorzystaj z porad w „DecryptCryptoLocker usługa deszyfrująca pliki po infekcji CryptoLockerem”.

A jeśli padłeś ofiarą innego szkodliwego oprogramowania, musisz przeczytać to:

  1. Krok po kroku jak odzyskać zaszyfrowane pliki przez Ransomware CoinVault.
  2. Cisco publikuje narzędzie deszyfrujące TeslaCrypt.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]