Polskie Forum FPV

Jak w temacie - uwaga na maile o treści:
" DPD - powiadomienie o nieodebranej przesyłce nr: xxxxxxxxxxxxxxxxxxxxxxxxxxxx "
Nie ma załącznika - wirus się uaktywnia po próbie odszukania tej przesyłki po podanym numerze.
Na komputerze firmowym załatwił dane w programach księgowych i kadrowych.
Oczywiście mail z okupem za klucz zaraz przyszedł.

Jerzy

U Gruba afera. Udostępnię

yorg68 pisze:Nie ma załącznika - wirus się uaktywnia po próbie odszukania tej przesyłki po podanym numerze.

To znaczy po kliknięciu w link, który pewnie jest w mailu i ma niby służyć do podglądu trackingu?

kamilborkowski pisze:To znaczy po kliknięciu w link, który pewnie jest w mailu i ma niby służyć do podglądu trackingu?

Jeszcze nie wiem jakie kroki małżonka podejmie - więc bez szczegółów.
Chodziło mi głównie o zaalarmowaniu że taki problem istnieje.

Coby śmiesznie było troszkę: nie mieliśmy akurat nic zamówionego

Jerzy

W mojej firmie i do mnie na skrzynke o2.pl tez to przyszło - oczywiscie mozna sie "skapnac" patrzac gdzie odsyla link do trackingu (w thunderbird pokazuje adres w rogu tynderbirda po najechaniu mysza bez klikniecia) w kazdym razie nie jest to adres dhl.... ale kto na to patrzy......

Jedna pociecha - co lepszy antywirus blokuje ta stronę - moja szefowa oczywiscie musiala kliknąć i bodajze Esset Smart Security zadzialal. Ale fakt, mail przygotowany bardzo dobrze - sam go czytalem i szczesliwie spojrzalem na adres linka.

Nauczony doświadczeniem kasuję wszystkie maile, które chociaż trochę budzą moją wątpliwość.
Informacja o blokadzie konta bankowego, niezapłaconych fakturach, przesyłkach z zagranicy, otwartych dla mnie akredytywach itp, to codzienność

Ostatnio zaczęli mi zdalnie drukować przez otwarty na routerze port 9100, żądanie zapłaty 0,05 bitcoina w zamian za odstąpienie od blokady drukarki, ale ich olałem. Chyba zamknę czasowo ten port, bo mnie wnerwiają

Uwaga na linki w dokumentach pdf, które teoretycznie wydają się bezpieczne

To stary już numer. Można się zabezpieczyć
- stawiając w firmie serwer proxy z autoryzacja oraz przycietymi portami + filtry na squidgurad.
- Firewall wtedy też musi ciąć wszystkie bezpośrednie połączenia poza proxy.
- aktualny antywirus np. Kaspersky zabezpieczony przed reaktywacja hasłem
- profil usera bez praw admina
- kopia danych, gdyby powyższe zawiodło

:)

EDIT - scalenie

Materiał szkoleniowy. Przebieg ataku.

....
Już niedługo
....



wysłane z budki telefonicznej na zadupiu

U mnie w firmie była podobna sytuacja, ale jak ma się backup danych to raczej nie jest wielki problem.

Nie wiecie czy robi też coś w Andkach, otworzyłem na telefonie z automatu bo akurat czekałem na paczkę z DPD
Norton na telefon nic nie wykrył ale jakoś mu nie ufam

Sprawdz zdjęcia - to taka pierwsza linia frontu...

Jerzy

pirzol pisze: - aktualny antywirus np. Kaspersky zabezpieczony przed reaktywacja hasłem

U mnie w firmie ransomware trafił już 2 komputery mimo aktualnego Kasperskiego

Bo Kasperski był aktualny, ale użytkownicy nie
To zawsze jest słaby punkt.

Najlepsze zabezpieczenia za grubą kasę nie zadziałają... zawsze na użytkownik systemów systemów komputerowych. Jak to powiedział Kevin Mitnick autor Sztuki podstępu, Łamałem ludzi, nie hasła.

Ja dzisiaj dostałem coś takiego Oczywiście załącznika doc nie otworzyłem

U mnie w firmie też dzisiaj fala spamu z załącznikami typu *.doc.
Eset Antyvirus zaczął łapać dopiero po 11.
Przykładowe tematy maili: "Przesyłam faktur do opłacenia, Proszę o akceptację przesłanie potwierdzen, Dowód zakupu do zamówienia nr 030284, Brakujacy numer Faktury, E-faktura nr_135067, Potwierdzenie zamówienia 66550/03/2017"
Z różnych maili przychodziły takie wiadomości, wszystkie zainfekowane virus Suspicious Object.
Po logach z serwera pocztowego widać, że to jakiś robot, ostro słownikiem jedzie.

EDIT: Wirus to VBA/TrojanDownloader.Agent.CVD