Atak ransomware w „fakturze” od firmy

Wszyscy chyba przywykliśmy do tego, że chociaż raz na jakiś czas dostajemy e-mail o wielkim spadku zostawionym nam przez afrykańskiego księcia czy bogatą ciotkę z Kanady. Tym razem próba oszustwa jest jednak bardziej wyrafinowana, gdyż przestępcy podszywają się pod firmę z której usług może korzystać wiele osób.

Mail od firmy trudniącej się wynajmem aut (a przynajmniej tak sugeruje nazwa) przyszedł ostatnio do wielu użytkowników. Bardziej obyty z siecią człowiek od razu powinien wyczuć, że coś jest nie tak, ale jeśli list trafi do kogoś nieco bardziej naiwnego, wówczas można spodziewać się kłopotów.

W mailu czytamy:

Wygląda pozornie niegroźnie, ale to początek kłopotów (fot. zaufanatrzeciastrona)

 

Ale to nie tekst jest jego najważniejszą treścią, a sama „faktura”. Pozornie to zwykły plik pdf. Niestety, zawiera on dodatkowy kod. Większość antywirusów powinna wykazać jego obecność.

Po pobraniu i otworzeniu „faktury” zostaniemy przekierowani na witrynę, która wyświetla zamieszczonego poniżej GIF’a.

Ten, jak widać, wygląda pozornie niegroźnie. Ot, podłączyliśmy się do jakiegoś dokumentu w online’owej wersji Office’a, prawda? Otóż niekoniecznie. Pierwotnie strona nie wysyłała nic więcej, ale obecnie htaccess strony zawiera znany już wcześniej ransomware Flotera. Ten oczywiście uraczy nas niezbyt przyjaznym komunikatem:

Aby odzyskać pliki skontaktuj się z nami pod adresem: [email protected] lub [email protected] Dwa pliki odszyfrujemy bez opłaty aby nie być gołosłownymi, za pozostałe będziecie Państwo musieli zapłacić 100$. Radzimy decydować się szybko, 92 godziny od zaszyfrowania opłata zostanie podniesiona do 200$.

Dokładnie to samo oprogramowanie zostało użyte niedawno do ataku, w którym przestępcy podszywali się pod GIODO. |CHIP