Вирус-шифровальщик или вам пришло письмо счастья с Налоговой :-D

Письмо с вирусом шифровальщиком с налоговой

Сегодня на почту сайта фирмы пришло письмо, содержание которого может непроизвольно вызвать лёгкий холодок для любого бухгалтера или предпринимателя: Налоговый Комитет РК, Задолженность по налогам за 2015 год - Прошу бухгалтера ознакомиться с ..

Письмо с вирусом шифровальщиком от налоговой

Сама ситуация немного нестандартная, обычно налоговики рассылают уведомления через личный кабинет,  а не на почту сайта компании, да и отчётный период для ИП сейчас не квартальный, а за полугодие.

Открываем письмо, читаем.

Письмо с вирусом шифровальщиком от налоговой

«Прошу бухгалтера ознакомится с отчётом по задолженности компании на 1 квартал 2015 года. Просим вовремя произвести оплату. Отчёт прикреплён или доступен тут – ссылка на dropbox,

C уважением, Мирас Мансуров
010000, г. Астана
ул. Бейбитшилик, 10
тел 8 (7172) 701662, 722012»

На первый взгляд всё выглядит нормально, но так как сам факт такого письма подозрителен, поэтому  проверяем реальный адрес отправителя, для этого выбираем опцию в меню ящика gmail Показать оригинал

письмо с вирусом из налоговой

И вот, вуаля, сервер отправителя как раз не тот, что показывает нам gmail в поле  From: Налоговый Комитет РК <miras-mansurov@kgd.gov.kz> (текст в этом поле отправитель может менять на своё усмотрение), а реальный адрес находится в поле Sender,  которое подписывает сам сервер-отправитель:  Sender:  go@host-2.ahost.org.ua
Домен   .ua указывает на принадлежность к серверу на территории Украины. Трудно поверить, чтобы Налоговый Комитет Республики Казахстан использовал бы для отправки своих писем-уведомлений непонятный сервер на Украине.

письмо с вирусом шифровальщиком

Теперь уже ясно, что это одно из фишинговых писем, во вложении которого скорее всего будет находиться вирус-червь. Но всё по порядку, идём дальше, скачиваем по их ссылке с дропбокса архив, но на всякий случай не в Виндовс, а в другой системе – Линукс (Ubuntu).
Распаковываем архив. Там мы видим следующее:

письма с вирусом от налоговой

Заходим в папку, видим три файла, эксель и ворд, они интереса не представляют и содержат общую информацию о налоговых проверках с официального сайта Налогового комитета.  Видимо, их выслали для солидности.

письмо с вирусом шифровальщиком

Обратите внимание на файл Отчётность.exe,  (даже герб поставили!), тот самый файл, на который нельзя кликать, если не вы хотите себе проблем, ведь при его запуске появится липовое сообщение об ошибке, а тем временем будут постепенно зашифрованы все документы на вашем компьютере, ворд, эксель, фотографии и тд.

Потом вы будете лицезреть уведомление о необходимости перечислить определённую сумму на указанный электронный кошелёк. В обмен неведомые вымогатели пришлют вам пароль, по которому можно будет раскодировать файлы. Злоумышленники даже могут предложить выслать пару закодированных файлов для расшифровки бесплатно, чтобы убедить вас в возможности восстановления файлов.

Подобная история недавно случилась в одной организации в Астане, где работает наш знакомый. Бухгалтеры открыли липовое письмо с налоговой, кликнули на подобный .exe файл во вложении, далее вирус-вымогатель зашифровал все файлы на всех компьютерах организации, распространившись по сети, и стал требовать денег на раскодировку. Дамы повздыхали, оплакали утрату личных фотографий, что было было обиднее всего )))) Но денег платить не захотели, и пришлось сисадмину переустанавливать системы.

Вот такие вот хитрые кибермошенники на Украине. Возможно, они находятся даже не там и запутывают следы, просто сервер-отправитель с украинской доменной зоны находится последним в их цепочке.

Представьте, что будет, когда такое письмо получает человек, который как правило не разбирается во всех этих тонкостях. Будьте внимательны, проверяя почту, и дублируйте свои личные файлы (фото и т.д.) на всякий случай.
 

Добавить комментарий

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.