Форум МАКАТЕЛ

Оборудование и SOFT => Интернет => Тема начата: Alexam от 23.09.2015, 11:29

Название: Предупреждение
Отправлено: Alexam от 23.09.2015, 11:29
Усилились атаки мошенников на компьютеры юр.лиц. Рассылаются письма от компаний типа Строй-тех, Глав-строй и т.п. с якобы карточками и договорами в архивах. Текст адекватный вполне, но телефоны без кодов или совсем не указаны. Антивирусы не видят подвоха.
  Будьте внимательны! Не открывайте вложений!
Предупредите своих работников!
 Во вложении вирус, кодирующий все документы на компьютере!
 Лечения пока нет.
У нас бухгалтерия попала :(
Название: Re: Предупреждение
Отправлено: Gul от 23.09.2015, 13:03
Получал такие письма. Тема письма, если не ошибаюсь,: Судебный иск. Решил не открывать.
Название: Re: Предупреждение
Отправлено: 1076 от 23.09.2015, 13:25
Скажите,  что  за  почтовики (сервера) это  пропускают ?
Как то  пытался  переслать файл (антивирусник его подозревал )-  не смог.


Название: Re: Предупреждение
Отправлено: beast52 от 24.09.2015, 06:26
в письмах не вложения, а ссылки. Вчера, после того, как здесь прочитал о ЭТИХ письмах, получил его.
Название: Re: Предупреждение
Отправлено: ua4frr от 24.09.2015, 08:21
в письмах не вложения, а ссылки. Вчера, после того, как здесь прочитал о ЭТИХ письмах, получил его

так оно и есть, вот скиншот с моего почтового ящика (клиент "The Bat!", защита - Eset Smart Security)
(http://storage8.static.itmages.ru/i/15/0924/s_1443071987_7191799_f6dcfaa2ec.png) (http://itmages.ru/image/view/3028694/f6dcfaa2)
Название: Re: Предупреждение
Отправлено: beast52 от 24.09.2015, 10:03
в письмах не вложения, а ссылки. Вчера, после того, как здесь прочитал о ЭТИХ письмах, получил его

так оно и есть, вот скиншот с моего почтового ящика (клиент "The Bat!", защита - Eset Smart Security)
(http://storage8.static.itmages.ru/i/15/0924/s_1443071987_7191799_f6dcfaa2ec.png) (http://itmages.ru/image/view/3028694/f6dcfaa2)


точно так выглядит письмо
Название: Re: Предупреждение
Отправлено: Fil от 24.09.2015, 10:30
в письмах не вложения, а ссылки.


В письмах вложения  - заархивированный файл.  С ехе-расширением...
Вот ссылок не было...


Причём, всё правдоподобно - какой нить бухгалтер - Андреева Галина... :)
Название: Re: Предупреждение
Отправлено: ua4frr от 24.09.2015, 10:37
Активность вирусов в сети Интернета можно оценить обращая внимание на кол-во обновлений БД в один конкретно взятый день, ну я еще, если время есть, через форму на сайте того же Есета подозрительные файлы/ссылки для них отсылаю. Потом смотришь, через 1-1,5 часа БД опять обновились))) Хоть какой то вклад вносишь для борьбы с этими вирусо-писаками...
Пингвин конечно в этом отношении здорово держится...на древнем ноуте стоит Убунту уже года так полтора...ни какого антивирусного ПО нет...живет и не чихает))))

Цитировать
В письмах вложения  - заархивированный файл.  С ехе-расширением...
Вот ссылок не было...

Видимо зависит все таки от почтового сервера, там где режет в Спам или ПО сервера не пускает, потом рассылка идет уже без вложений, со ссылками....
Название: Re: Предупреждение
Отправлено: Alexam от 24.09.2015, 13:43
Скажите,  что  за  почтовики (сервера) это  пропускают ?
Как то  пытался  переслать файл (антивирусник его подозревал )-  не смог.
Хош, архив с вирусняком пошлю для проверки?  ;D Проверишь как раз.
Мы, кстати, частично побороли - часть файлов удалось восстановить.
Название: Re: Предупреждение
Отправлено: 1076 от 24.09.2015, 14:44
просто перешли  мне  письмо
Название: Re: Предупреждение
Отправлено: Alexam от 25.09.2015, 10:46
просто перешли  мне  письмо
переслал с почты telemag. Они меня каждый день ими закидывают.
Название: Re: Предупреждение
Отправлено: 1076 от 25.09.2015, 11:19
Это самораспаковывающий ся  .EXE  файл,  Zimbra  тоже  вирусей  не  нашла.  :-\ :-\ :-\
Название: Re: Предупреждение
Отправлено: ua4frr от 25.09.2015, 14:14
Ну так у кого образец есть - передайте на анализ разработчику антивирусного ПО...быстрей все проблемы с этим вирусом решаться будут...
Название: Re: Предупреждение
Отправлено: Alexam от 25.09.2015, 15:43
Ну так у кого образец есть - передайте на анализ разработчику антивирусного ПО...быстрей все проблемы с этим вирусом решаться будут...

Там у них свои танцы с бубнами. Но мы нашли декодировщик: на одном из форумов выложили. Часть файлов восстановлена, многие даже давно не нужные. Может и все, но просто их надо все пересматривать - названия затёрлись - и смотреть, а это тоже та ещё работа, тем более, кроме буха всё равно этим никто не может заняться.
Название: Re: Предупреждение
Отправлено: ua4frr от 25.09.2015, 16:47
Я к тому, что если сигнатуры этого "вредителя" будут известны и включены в БД антивируса, то и лекарство искать не нужно будет...
Название: Re: Предупреждение
Отправлено: Yarik от 26.09.2015, 16:18
Обычно потом следует ещё одна рассылка,с предложением купить декодировщик.
Название: Re: Предупреждение
Отправлено: Alexam от 28.09.2015, 09:52
Обычно потом следует ещё одна рассылка,с предложением купить декодировщик.
Не, они ж требуют обратиться в недельный срок иначе дальше ничего сделать будет нельзя. Так что народ себя не нагружает лишней работой.
Название: Re: Предупреждение
Отправлено: sky star от 28.09.2015, 11:10
а кто сказал что это вирус ?

покажите мне фото этого человека !
я ему скажу что он не прав , он ОЧЕНЬ не прав, это просто исполняемый файл
Название: Re: Предупреждение
Отправлено: Alexam от 28.09.2015, 11:20
а кто сказал что это вирус ?

покажите мне фото этого человека !
я ему скажу что он не прав , он ОЧЕНЬ не прав, это просто исполняемый файл
Это троян называется  из серии Trojan.Encoder.ХХХ . Запускается исполняемым файлом.
 Так что спокойнее  :)
Название: Re: Предупреждение
Отправлено: sky star от 28.09.2015, 11:28
не путайте вирусы и трояны :)
вирусы скажем так , программы с деструктивными функциями,

троянцы же либо воры или вымогатели - деструктивные функции у них в конце списка ...

Вы реально можете сидеть и работать за машиной винт которой под пробку будет набит троянцами,
и это не будет носить для Вас проблемы,
как фоточки смотрели так и будите смотреть ,
в мою бытность троянци воровали мыло и пароли к сайтам аську
Название: Re: Предупреждение
Отправлено: Fil от 28.09.2015, 14:54
Ребята, что за хрень?
Делаю запрос через гугль, пишет:

Сожалею...
Мы сожалеем...... Но ваш компьютер или сеть могут посылать автоматизированные запросы. Чтобы защитить наших пользователей, мы не можем обработать ваш запрос прямо сейчас.
См Помощь Google (https://support.google.com/websearch/answer/86640) для получения дополнительной информации.
Название: Re: Предупреждение
Отправлено: Alexam от 28.09.2015, 15:14
не путайте вирусы и трояны :)
вирусы скажем так , программы с деструктивными функциями,
троянцы же либо воры или вымогатели - деструктивные функции у них в конце списка ...
Мы и не путаем, просто тут некоторые сидят и умничают  :D Троянская программа - вид вредоносных программ, в просторечии - вирусов. Никому ещё не приходило в голову сказать, что троян - не вирус, по крайней мере я не слышал  f_emo_23 .
 А что там делает конкретно троянец, не так важно: у нас вирусы тоже не все проявляются, а ДНК наша - вообще формировалась при участии вирусов. f_emo_55
Название: Re: Предупреждение
Отправлено: Alexam от 28.09.2015, 15:15
Ребята, что за хрень?
Делаю запрос через гугль, пишет:

Сожалею...
Мы сожалеем...... Но ваш компьютер или сеть могут посылать автоматизированные запросы. Чтобы защитить наших пользователей, мы не можем обработать ваш запрос прямо сейчас.
См Помощь Google (https://support.google.com/websearch/answer/86640) для получения дополнительной информации.
Проверяй комп антивирусом.
Название: Re: Предупреждение
Отправлено: Fil от 28.09.2015, 15:17
Ребята, что за хрень?
Делаю запрос через гугль, пишет:

Сожалею...
Мы сожалеем...... Но ваш компьютер или сеть могут посылать автоматизированные запросы. Чтобы защитить наших пользователей, мы не можем обработать ваш запрос прямо сейчас.
См Помощь Google (https://support.google.com/websearch/answer/86640) для получения дополнительной информации.
Проверяй комп антивирусом.


Проверил - нет. Через янд и трамблёр ничего не пишет...
Название: Re: Предупреждение
Отправлено: 1076 от 28.09.2015, 15:30
Ребята, что за хрень?
Делаю запрос через гугль, пишет:

Сожалею...
Мы сожалеем...... Но ваш компьютер или сеть могут посылать автоматизированные запросы. Чтобы защитить наших пользователей, мы не можем обработать ваш запрос прямо сейчас.
См Помощь Google для получения дополнительной информации.
Так Frigate пишет ,когда  торренты  через  него  прокачивать  пытаешься .
Экономия  трафика  или  другое  аналогичное  приложение  установлено ?
Другой  браузер  что  выдает ?



Название: Re: Предупреждение
Отправлено: Fil от 28.09.2015, 15:43
Ребята, что за хрень?
Делаю запрос через гугль, пишет:

Сожалею...
Мы сожалеем...... Но ваш компьютер или сеть могут посылать автоматизированные запросы. Чтобы защитить наших пользователей, мы не можем обработать ваш запрос прямо сейчас.
См Помощь Google для получения дополнительной информации.
Так Frigate пишет ,когда  торренты  через  него  прокачивать  пытаешься .
Экономия  трафика  или  другое  аналогичное  приложение  установлено ?
Другой  браузер  что  выдает ?


Торрент агента на компе нет... Экономии тоже не установлено...  :)


Кроме хрома есть фокс. С него без проблем...
Название: Re: Предупреждение
Отправлено: ua4frr от 28.09.2015, 15:55
Юр, могу от себя посоветовать интересную програмулину - https://www.malwarebytes.org/
Ищет "maleware" и находит, даже уже после такого продукта как Eset NOD32.
Единственное, при установке не надо соглашаться на бесплатный тестовый период "Премиум" версии, юзай просто "фришную"...для разовых проверок при необходимости вполне достаточно, базы ручками обновляются по запросу...
Название: Re: Предупреждение
Отправлено: 1076 от 05.10.2015, 10:18
ширится, растет заболевание..

Цитировать
From: info@service.ru
To: .........@хххххххххх
Sent: Saturday, October 03, 2015 4:03 PM
Subject: Приложение к договору


Коллеги!
Здравствуйте!
 
Обращаем Ваше внимание, что в нашей организации в этом месяце проводится проверка документов,
так как у нас отсутствует приложение №2  к нашему с Вами договору,
прошу срочно его подписать и доставить к нам курьером,
приложение договора прилагаю во вложении,а так же акт сверки на текущую дату
который так же необходимо подписать:
 
Благодарим Вас!
 
С Уважением,Старший менеджер ООО Техно, Ким Виктория
 
Файлы(2)
 
   1) Приложение.rar
   2) Акт сверки.rar
Название: Re: Предупреждение
Отправлено: qwerty от 11.12.2015, 10:36
Ну так у кого образец есть - передайте на анализ разработчику антивирусного ПО...быстрей все проблемы с этим вирусом решаться будут...

 Но мы нашли декодировщик: на одном из форумов выложили. Часть файлов восстановлена, многие даже давно не нужные. Может и все, но просто их надо все пересматривать - названия затёрлись - и смотреть, а это тоже та ещё работа, тем более, кроме буха всё равно этим никто не может заняться.
Налетел на троян энкодер, не могли бы скинуть декодировщик, авось востановит.
Название: Re: Предупреждение
Отправлено: ua4frr от 11.12.2015, 16:18
Коллега, посмотри вот по ссылке: https://www.esetnod32.ru/support/winlock/
Может поможет))) Удачи)))
Название: Re: Предупреждение
Отправлено: qwerty от 12.12.2015, 09:59
Коллега, посмотри вот по ссылке: https://www.esetnod32.ru/support/winlock/
Может поможет))) Удачи)))
Спасибо, ничего не помогло. Пробовал несколько утилит - толку ноль.
Название: Re: Предупреждение
Отправлено: ua4frr от 12.12.2015, 10:35
Коллега, тогда скрин или фото с блокировщиком в студию, будем дальше думать)))
Название: Re: Предупреждение
Отправлено: Diogen от 12.12.2015, 11:05
Пробовал несколько утилит - толку ноль.
А таблетку Касперского глотал?
(Virus removal tool)
http://www.kaspersky.ru/free-tools
Название: Re: Предупреждение
Отправлено: qwerty от 12.12.2015, 11:21
Троян энкодер на двух жёстких дисках зашифровал часть файлов - .avi, .mov, .rtf, .mkv, mp3; причём не тронул системный диск С. Файлы сменили расширение на .cbf Полностью зашифровал диск D и часть диска Е. Была проведена чистка антивирусными программами, был обнаружен и удалён троян энкодер .


P.S. Эта мерзость пришла якобы от налоговой жене на почту, типа за 3 квартал был сдан отчёт с ошибками и через неделю заблокируют счета у организации в которой она ведёт бухгалтерию. Было вложение в письме с расширением .scr, которое и было со страху запущено.
Название: Re: Предупреждение
Отправлено: qwerty от 12.12.2015, 11:29

А таблетку Касперского глотал?
(Virus removal tool)
http://www.kaspersky.ru/free-tools
Нет, первоначально прогнал Др.Вебом(Cureit), он и обнаружил сию дрянь, остальные утилиты и повторное сканирование Cureit уже ничего не нашло.
Касперскому не доверяю что то, приходилось у знакомых удалять порно банеры на ПК которых стоял каспер.
Название: Re: Предупреждение
Отправлено: Mike от 12.12.2015, 11:32
Троян энкодер на двух жёстких дисках зашифровал часть файлов - .avi, .mov, .rtf, .mkv, mp3; причём не тронул системный диск С. Файлы сменили расширение на .cbf Полностью зашифровал диск D и часть диска Е. Была проведена чистка антивирусными программами, был обнаружен и удалён троян энкодер .


P.S. Эта мерзость пришла якобы от налоговой жене на почту, типа за 3 квартал был сдан отчёт с ошибками и через неделю заблокируют счета у организации в которой она ведёт бухгалтерию. Было вложение в письме с расширением .scr, которое и было со страху запущено.

Что бы наша налоговая что то прислала по электронке - да ни в жисть, скорее по телефону позвонят или письмо пришлют почтой....поэтому все якобы налоговые письма сразу в утиль без сожаления f_emo_48
Название: Re: Предупреждение
Отправлено: beast52 от 12.12.2015, 18:59
Троян энкодер на двух жёстких дисках зашифровал часть файлов - .avi, .mov, .rtf, .mkv, mp3; причём не тронул системный диск С. Файлы сменили расширение на .cbf Полностью зашифровал диск D и часть диска Е. Была проведена чистка антивирусными программами, был обнаружен и удалён троян энкодер .


P.S. Эта мерзость пришла якобы от налоговой жене на почту, типа за 3 квартал был сдан отчёт с ошибками и через неделю заблокируют счета у организации в которой она ведёт бухгалтерию. Было вложение в письме с расширением .scr, которое и было со страху запущено.

Что бы наша налоговая что то прислала по электронке - да ни в жисть, скорее по телефону позвонят или письмо пришлют почтой....поэтому все якобы налоговые письма сразу в утиль без сожаления f_emo_48
или счет заблокируют, уже не раз из-за пени в 10-50 рублей происходило.
Название: Re: Предупреждение
Отправлено: overhead от 14.12.2015, 00:37
а зачем его блокировать?
спишут по тихому и всё.
для этого кстати ИП и заставляют открывать счёт юрлица, чтобы можно было залезть туда без проблем всяким налоговым без решения суда.
Название: Re: Предупреждение
Отправлено: ua4frr от 15.12.2015, 08:24
Новый поток интересных писем -
от: ОАО Рос-Телеком <mail@rostelecom.ru>
Тема: Изменения тарифного плана

Тело письма:
"Уважаемый абонент!
Уведомляем Вас о закрытие линии в Вашем доме и переводе на другой тарифный план, Наших партнеров. На срок 3 месяца. Перевод абонентов ожидается с 1.01.2016г.
Изменения тарифного плана в приложении.
 
Это сообщение создано автоматической системой и не требует ответа.
 
С уважением к Вам, ОАО Рос-Телеком"

К письму - архив "Изменение тарифного плана.rar" - внутри exe-ник...
Название: Re: Предупреждение
Отправлено: Alexam от 21.12.2015, 11:02
Налетел на троян энкодер, не могли бы скинуть декодировщик, авось востановит.
письмо мне на почту скиньте. Админ занимался, его надо трясти. А я без письма забуду.
Название: Re: Предупреждение
Отправлено: qwerty от 21.12.2015, 15:10
Налетел на троян энкодер, не могли бы скинуть декодировщик, авось востановит.
письмо мне на почту скиньте. Админ занимался, его надо трясти. А я без письма забуду.
Скинуть текст письма или вложение в котором троян? На какой адрес скинуть? .
Название: Re: Предупреждение
Отправлено: ua4frr от 12.01.2016, 08:36
Рассылки пошли опять - само тело письма:
"Уважаемый абонент!
Уведомляем Вас о закрытие линии в Вашем доме и переводе на другой тарифный план, Наших партнеров. На срок 3 месяца. Перевод абонентов ожидается с 1.25.2016г.
Изменения тарифного плана в приложении.
 
Это сообщение создано автоматической системой и не требует ответа.
 
С уважением к Вам, ОАО Рос-Телеком

Ссылка в теле письма - _http://smile.li.md/system/logs/info.rar"

Адрес с которого пришло - ОАО Рос-Телеком <rosstelecom@info.ru>

Что по ссылке в архиве:
Файл:
_http://smile.li.md/system/logs/info.rar
Протокол:
HTTP
Информация о вирусе:
External AV verdict: Win32/Filecoder.EQ trojan
Название: Re: Предупреждение
Отправлено: alex81- от 12.01.2016, 12:37
Мне было бы стыдно за себя, если бы составлял подобный развод, да или вообще спам. Ну как так можно настолько плохо владеть русским языком?  ;D
Название: Re: Предупреждение
Отправлено: ua4frr от 12.01.2016, 12:58
Мне было бы стыдно за себя, если бы составлял подобный развод, да или вообще спам.
да переведено поди инет-переводчиком скорее всего...
Название: Re: Предупреждение
Отправлено: Alexam от 13.01.2016, 10:22
Хм, тут поздравление с НГ прискакало с вирусняком.
Название: Re: Предупреждение
Отправлено: Fil от 13.01.2016, 10:50
А послание от судебных приставов?... :)

Зыкам что ли скучно? Или пионерам?
Название: Re: Предупреждение
Отправлено: Alexam от 26.01.2016, 15:23
 Приходят такие письма, якобы от местного РКН с почты на mail.ru
Пока не понял, в чём суть. Не отвечал.

Цитировать
Доброго времени!

Повторно просим проконтролировать ограничение к доступа к нижеследующим ресурсам.
По возможности проинформировать Управление Роскомнадзора по Рязанской области.

Цитировать
ТУт был список ресурсов - я убрал.

Также просим проконтролировать ограничение доступа к



    Суббота, 23 января 2016, 9:56 +03:00 от . Александр <cahekx@yandex.ru>:

    Добрый день!
    Доступ к данным ресурсам ограничен.

    22.01.2016, 22:30, "Роскомнадзор по РО" <rkp62@mail.ru>:
    > Доброго времени!
    > По поручению Роскомнадзора (получили в 17.00 22.01.2016) необходимо на своих сетях связи в наиболее короткие сроки проконтролировать ограничение доступа к нижеследующим ресурсам.
    > Т.е. проверить ограничен доступ к ресурсу или нет.
    >
    > О результатах сообщить на данный имейл, по возможности до 13 ч. 00 мин. 23.01.2016 г.
    >
    > Список ресурсов.
    >
    > тел: 228-242
    >
    > С уважением!
    >
    > Отдел контроля и надзора в сфере связи Управления Роскомнадзора по Рязанской области.



тел: 228-242

С уважением!

Отдел контроля и надзора в сфере связи Управления Роскомнадзора по Рязанской области
Название: Re: Предупреждение
Отправлено: 1076 от 26.01.2016, 20:28
Ркн   просит разместить соц.рекламу (перс. данные) вроде  без  вирусов.  :-\