Знову вірус-шифрувальник на цей раз під покровом Приватбанку

[Zheny@]

1 година тому, Соромітник сказано:

Німа в мене такої фігні на пошті хоча в привата мій мейл давним давно, так що наврядчи розсилка має якесь відношення до бази приватбанку.

список кількамільйонний, до тебе просто черга не дійшла

[santa11]

Вже стикався з цим. Логіка така. Шифрує файли офісу, фото, музику, відео. найбільш небезпечно тому, що лізе на мережеві диски і починає шифрувати там. Причому починає з папок які знаходяться знизу списку. І без бекапів тоді не обійтися. Розшифрувати нажаль не вдається. Пк з якого вірус вліз тупо під форматування. до привата і його розсилок відношення нема - по моїх підрахунках.

[Соромітник]

2 hours ago, Zheny@ said:

список кількамільйонний, до тебе просто черга не дійшла

те що листи розсилають на тему привата не означає що список клієнтів має відношення до привата... взагалі ніяк не зв’язано
це з таким же успіхом може бути база вк, однокласників, mail.ru чи будь-якої іншої хєрні, на яку такі ласі українці 

[Zheny@]

20 хвилин тому, Соромітник сказано:

це з таким же успіхом може бути база вк, однокласників, mail.ru чи будь-якої іншої хєрн

маю 2 ящика на мейл ру.

Прийшло на один. Який доречі @mail.ua

 

[Lisovic]

@Соромітник в нас поприходило на корпоративну пошту лише бугалтерам які з приватом працюють, і то не всім. На службові ящики які використовуються для збору рахунків і різних повідомлень і які зазвичай всюди вказєм, нічого такого не прийшло.

[Oli]

@Lisovic

 

вже якась **ка продала базу

[Zheny@]

1 хвилина тому, Oli сказано:

вже якась **ка продала базу

Я вже це сказав в 4-му пості І та *ка не одна/

[Oli]

1 година тому, Zheny@ сказано:

@mail.ua

 

може спецом вибирали такий домен щоб на москалів не витрачатись...

 

 

[Dieselsmart]

2 часа назад, Zheny@ сказал:

Прийшло на один. Який доречі @mail.ua

А це хіба не дочка того ж кацапського майлсру? тіпа маскіровка як заправки амік. чи я помиляюсь?

[Oli]

11 хвилин тому, Dieselsmart сказано:

А це хіба не дочка того ж кацапського майлсру? тіпа маскіровка як заправки амік. чи я помиляюсь?

 

[Zheny@]

59 хвилин тому, Dieselsmart сказано:

А це хіба не дочка того ж кацапського майлсру?

був гарний поштовик, mail.ua і раптом БАЦ!!! кУПИли його моцкалі.

[fenmix]

В 03.03.2017 at 15:54, Zheny@ сказал:

був гарний поштовик, mail.ua і раптом БАЦ!!! кУПИли його моцкалі.

 

Так з того часу я й перестав ним користуватись і остаточно перейшов на гугл. + мені такі листи на гугл не приходили, хоча теж користуюсь ПБ. Стосовно більшості атак на клієнтів банків, судячи по статтям на тему кібербезпеки з хабру + з горе-досвіду моїх знайомих, скажу, що це все через відсутність елементарних знань комп'ютерної безпеки. Як раз комусь ідея для стартапу - замутити команду, яка буде пропонувати підприємствам за невелику плату проводити тренінги співробітникам по кібербезпеці. Бо такі трабли краще попереджувати, ніж розгрібати, особливо з шифрувальниками. При хорошій ІТ-освіті і дотриманні певних правил, через порушення яких буде дрючити адмін з начальством (відкриття тих самих вкладень з листів) навіть передплата на антивіруси не знадобиться, які лише створюють ілюзію безпеки для директорів таких підприємств.

[Lisovic]

Ну що продовжуем, на цей раз від імені ДФС,

Скрін прислали колеги

 

[Zevs_Isver]

нормально....

 

скоро від кіберполіції листи шифрувальщики будуть приходити  

[romanc]

Ну если базы сам Приват покупает, почему нельзя покупать базу Привата? Недавно звонят, предлагают счет у них открыть, а перед этим я оставил координаты в госструктуре.

[Zheny@]

7 годин тому, Lisovic сказано:

Ну що продовжуем, на цей раз від імені ДФС,

Якби не палівний джозеф..

Ссилка реальна ,але не робоча.

 

Хіба може хакнули сайт і запхали вірусню!

[Lisovic]

@Zheny@ ну тут нічого сказати не можу, прислали знайомі лише скрін, самого листа я не бачив, з їх слів в них таки зловили заразу, значить ссилка таки була робоча. Там могла бути замаскована ссилка, в імені одне, а в самому посиланні зовсім інше, мені це відразу спало на думку.

[Zheny@]

1 година тому, Lisovic сказано:

Там могла бути замаскована ссилка, в імені одне, а в самому посиланні зовсім інше, мені це відразу спало на думку.

Згоден.  розумно. Назва посилання у вигляді посилання.

 

[AgentSmith13]

Там так і є, своїм юзерам вчора провів інструктаж з показом крупним планом проектором на всю стіну, чого відкривати не треба, думаю, допоможе. А так, єдиний спосіб боротьби - встановити асоціацію файлів .js i .jse з Блокнотом якимось + заборонити їх відкриття прямо з Вінрара без розпаковки - її мало хто робити стане. Ех, неправильну стратегію вибрав "пошифрун", треба було тему листа писати "довідка для декларації", і по всім держустановам. Доречі, поштовиком фіг заблокуєш - бо йде завжди з різних доменів, в тому числі і з реальних доменів українських фірм, навіть з rdc.sw.energy.gov.ua (Укренерго) і vobu.com.ua (газета "Все про бухгалтерський облік"). Виглядає так, ніби для тої атаки купу серверів ламанули.

[Zheny@]

1 година тому, AgentSmith13 сказано:

в тому числі і з реальних доменів українських фірм,

Звідти не йде

 Що забороняє зробити так:

http://vobu.com.ua

[Lisovic]

1 година тому, AgentSmith13 сказано:

Там так і є, своїм юзерам вчора провів інструктаж з показом крупним планом проектором на всю стіну, чого відкривати не треба, думаю, допоможе.

Не допоможе, те що ти їм розказуєш для більшості ніфіга незрозуміло.

1 година тому, AgentSmith13 сказано:

А так, єдиний спосіб боротьби - встановити асоціацію файлів .js i .jse

Нє, є значно більш потужний інструмент, AppLocker називається, грамотна настройка цієї штуки може взагалі зменшити ризик шото підцепити до мінімума. включаючи різні яндекс-бари. Правда працює лише починаючи з Windows 7/2008r2

 

п.с. взагалі джава скрипт це тільки загрузчик, який впринципі може бути і іншим, він в свою чергу скачує вже програму яка вже і робить все інше.

[AgentSmith13]

55 минут назад, Zheny@ сказал:

Звідти не йде

 Що забороняє зробити так:

http://vobu.com.ua

Лист сам якраз прийшов з "Державна фіскальна служба України" <[email protected]>, "Державна фіскальна служба України" <[email protected]>, "Державна фіскальна служба України" <[email protected]>, "Державна фіскальна служба України" <[email protected]>, а от посилання в ньому - таки фейкове

https://sfs.gov.ua/downloads/2017-03/5521sZ98xd.html?tm=277201

Реальна адреса - http://innproject.it/OpenFMS/of-archive/0300/media/20140423/documents.zip

53 минуты назад, Lisovic сказал:

Не допоможе, те що ти їм розказуєш для більшості ніфіга незрозуміло.

Нє, є значно більш потужний інструмент, AppLocker називається, грамотна настройка цієї штуки може взагалі зменшити ризик шото підцепити до мінімума. включаючи різні яндекс-бари. Правда працює лише починаючи з Windows 7/2008r2

В вимогах при прийомі на держслужбу (будь-яку посаду) була чітка вимога - впевнений користувач ПК (відрізнити значок офісного документа чи ПДФ від джаваскрипта - реально, особливо побачивши ту скотину на весь великий екран, і почувши про наслідки, люлєй отримати за САМОСТІЙНЕ, своїми ж руками знищення інфи, аж до офіційних "дисциплінарних" паперів - теж - сам скачав, сам запустив...). Доречі, не відкрив тої ахінеї в мене ніхто - вчасно попередили + люди були в курсі ще про "Приватбанк" і до нього. Ще до "лекції" самі дзвонили і питали про "лист з податкової" - вчений юзер знає, що краще перебдіти ).

Апплокер то, звичайно, добре, але є купа машин з ХР (як через старувату машину, так і через старе ПЗ). От через те і доводиться робити асоціації і т.д. - грошей на нові компи "нема і не буде"... Були б гроші на норм сервери під домен і бекапи - було б легше. Ще на поштовику можна накрутити не пропускати джаваскрипти в архіві - postfix + amavisd-new вміють так (блочити домени - по барабану, воно звідки хочеш йде, в.т.ч. [email protected].gov.ua,  хоча з .ru в мене листи не приходять - прибито наглухо).

[Lisovic]

@AgentSmith13 до дупи то все, сьогодні ти їм показав джаваскрипт, а завтра прилетить екзешник в архіві зі значком ворда, і хтось його обов'язково та запустить.

 

В XP є "Политики ограниченного использования программ"

 

А на рахунок адрес відправників, там скоріш за все юзають smtp spoofing. Я тільки вчора над цим задумувався, чого вони його не використовують, а виявляється таки використовують.

[vampirich]

11 хвилин тому, AgentSmith13 сказано:

Лист сам якраз прийшов з "Державна фіскальна служба України" <[email protected]>,...

дайте мені вашу електронку, я на неї відправлю лист з [email protected] (образно)

якщо ваш поштовик не перевіряє spf(або spf домену, під який косить розсилка криво прописаний) то він прийме лист з любою видуманою адресою

[AgentSmith13]

По наявній в мене інфі, поштовики фірм і установ таки ламануті, створено "ліві" поштові акаунти, і побомбили, доречі, всього 1 день. Сьогодні навіть натяку на такі листи не було. І дуже багато хто і не помітив появи того акаунта в себе. Отже, чекаєм листа від СБУ, НАБУ і т.д.... Далі буде...