facebook adres e-mail telefon

ALERT BEZPIECZEŃSTWA. Uwaga na nową kampanię malware – elektroniczna faktura od Wizzair

Kolejny atak malware!

Nowy rok i pojawiają się nowe targety do zrealizowania. Najwyraźniej notorycznemu autorowi kampanii ransomware zabrakło kilkuset dolarów po udanej imprezie sylwestrowej i postanowił je zarobić.

Do polskich skrzynek zaczęły w trafiać wiadomości podszywające się pod Wizzair i zawierające złośliwe oprogramowanie. Co ciekawe, autor fajtłapa w pierwszej wersji pomylił się tworząc załącznik i złośliwy kod nie działał. Niestety wkrótce potem w świat ruszyła druga, działająca wersja. Jeśli ktoś da się złapać na ten atak, to jego pliki zostaną zaszyfrowane.

Faktura elektroniczna za rezerwację Wizz Air

Złośliwa wiadomość nie ma polskich znaków i wygląda następująco:

wizzair-malware-zagrożenie-bezpieczeństwa-it-bezpieczeństwo-it-obsługa-informatyczna-śląsk

 

"Szanowny Kliencie,
Dziekujemy za wybranie linii lotniczych Wizz Air.
Zalaczamy fakture elektroniczna za Twoja rezerwacje.
Ta faktura jest oryginalna faktura w formacie elektronicznym wystawiona przez firme Wizz Air Hungary Ltd. 
w momencie dokonania rezerwacji, zgodnie z odpowiednim obowiazujacym ustawodawstwem wegierskim.[…]"

W pierwszej wersji znajdował się załącznik: Wizzair 30-12-2017.docx, który po otwarciu wyglądał następująco:

wizzair-ransomware-malware-zagrożenie-bezpieczeństwa-it-bezpieczeństwo-it-obsługa-informatyczna-katowice

Analiza osadzonego obiektu OLE (z ikoną udającą plik DOC) pokazuje, że autor kombinował z wykonaniem skryptu po dwukrotnym kliknięciu w obiekt – ale skrypt odwołuje się do pliku SVG, którego raczej nie ma na dysku ofiary, stąd po kliknięciu nic się nie dzieje. Ten wariant kampanii wkrótce został wyłączony i autor przełączył wysyłkę na wersję z załącznikiem o nazwie

wizzair 30-12-2017 doc.z

który tak naprawdę jest plikiem RAR, zawierającym skrypt wykonujący polecenia PowerShella, pobierające i uruchamiające plik:

http://forum-windows.eu/js/fullhd.exe

Plik ten to ransomware Flotera, szyfrujący pliki ofiary.

Centrum Systemów Komputerowych zaleca swoim klientom w każdym przypadku pojawienia się czegoś niepokojącego o pilny kontakt z działem technicznym.
Apelujemy o zachowanie szczególnej ostrożności przy otwieraniu załączników pochodzących z niesprawdzonego maila bądź mogących budzić obawy.

Jeśli nie jesteś klientem CSK skontaktuj się z nami, a otrzymasz niezbędną pomoc.
Upewnij się, że system antywirusowy i jego moduły są aktywne. Funkcje te powinny być domyślnie włączone.
Zadbaj o wykonywanie kopii zapasowej danych, w przypadku zaszyfrowania danych będzie można je odzyskać.
Nie płać okupu. 

 

Źródło: https://zaufanatrzeciastrona.pl

Masz pytania? Napisz do nas!

Wyślij wiadomość