Czytam Piekielnych od dłuższego czasu, ale w związku z małą ilością piekielnych sytuacji w moim życiu nie miałem nic do opisania. Dziś wrzucam małą przestrogę. Na służbową skrzynkę e-mail dostałem dzisiaj wiadomość z adresu gert.findel@t-online.de o treści:
"Witaj xxxxxx,
Zwracamy się w związku z fakturą # PL/0286698. Należność jest niezapłacona od 16 Czerwiec 2016 na kwotę 3,348.00 zł. Prosimy o jak najszybsze zapłacenie należności.
Prosimy o skontaktowanie się w przypadku jakichś wątpliwości.
Pozdrawiam,
Marcin Remplewicz
STUDIO BP
+48501013840
Rozental Tomasz, Gołonoska 112, Dąbrowa Górnicza, 42-523"
W załączniku do tej wiadomości jest plik z moim imieniem z rozszerzeniem ".doc". Po otwarciu takiego załącznika komputer zostaje zarażony wirusem typu Ransomware. Wszystkie pliki na urządzeniu (z rozszerzeniami .pdf, .xls, .doc, ,jpg itp. ogólnie wszystkie pliki dokumentów i zdjęć) zostają zaszyfrowane i jedynym sposobem na odszyfrowanie ich jest zapłata złodziejowi kilkuset dolarów.
Bądźcie czujni! Jeśli macie wątpliwość odnośnie jakiejś wiadomości poproście znajomego, który będzie potrafił odróżnić fałszywy plik z fakturą od prawdziwego. Mi udało się uniknąć zablokowania plików ale w zaprzyjaźnionej firmie kilka osób straciło bardzo wrażliwe dane.
Piekielnym w historii jestem ja, w odpowiedzi wysłałem innego wirusa:)
ransomware
"w zaprzyjaźnionej firmie kilka osób straciło bardzo wrażliwe dane." - Za to to powinien dyscyplinarnie wylecieć dział IT. A pewnie też ci z HR, którzy zatrudniali ludzi do IT. Utrata danych nie powinna być możliwa, wrażliwe dane powinny były być bezpieczne na kopii zapasowej. A jeśli były bardzo wrażliwe, nie powinny być przetwarzane na komputerze, który ma połączenie z internetem. Jak widać są dwa rodzaje ludzi (i firm). Ci co robią backupy, i ci co się jeszcze nauczą.
Odpowiedz@bloodcarver: Nie była to firma posiadająca coś takiego jak dział IT. To firma zatrudniająca 25 osób i przez skąpego prezesa sprawami związanymi z pracą komputerów zajmował się młody chłopaczek, który pojawiał się 2x w miesiącu.
OdpowiedzJak znajdą linuksiarza, jest szansa, że odzyskają większość danych.
Odpowiedz@bitgirl: Jeżeli to był cryptolocker lub inny podobny syf szyfrujący dane to nawet pod Linuxem nie da się nic zrobić . Chyba że komuś udało by sie złamać same szyfrowanie - to można zrobić nawet na systemie z M$ .
Odpowiedz@reyden: Cryptolockery zwykle nie czyszczą dysku po sobie, i oryginalne dane zostają w porzuconych sektorach dysku. Ciężko to potem poskładać, owszem, ale nie jest tak, że całkiem i nic się nie da.
Odpowiedz@Pampet: No to prezes ma dokładnie to, o co się prosił, i była to tylko kwestia czasu. 25 osób na linii produkcyjnej a 25 osób w takim biurze podróży czy księgowym to też całkiem inna sprawa, sztuka nie jest sztuka. W tej drugiej opcji jeden lub dwóch helpdeskowców / adminów na stałe to już praktycznie konieczność. Właśnie po to, by dbać o backupy, aktualność antywirusa itd.
OdpowiedzNie ma możliwości aby w pliku doc/docx krył się wirus . To samo tyczy się pliów RTF ,txt czy innych formatów plików tekstowych a także plików graficznych czy plików pdf . To nie są pliki wykonywalne , więc szansa na złapanie tą drogą wirusa czy innego trojana w zasadzie nie istenieje . Pewna szansa jest jak plik zawiera makra . Co innego jak to jest plik spakowany do postaci zip,rar czy exe ( archiwum samorozpakowujące ) - wtedy w archiwum można ukryć wirusa .
Odpowiedz@reyden: Makra zawarte w plikach .doc o złośliwej zawartości są znane od wielu lat. Do ataków na komputery/dane wykorzystuje się też pliki .jpg - niektóre z przeglądarek graficznych pięknie "się wywracają" i pozwalają na wykonanie dziwnych działań zawartych w nieszkodliwym obrazku. To samo .pdf pozwalają na "aktywną zawartość" - czasami bardzo aktywną :(
Odpowiedz@reyden: Nie znam się a się wypowiem... no co za kretyn...
Odpowiedz@reyden: Ten konkretny plik zawiera makra i jest zainfekowany. Pisał o tym niebezpiecznik, link masz niżej w komentarzach.
Odpowiedz@reyden: Podaj maila, podeślę ci kilka nieszkodliwych plików ;)
OdpowiedzDostałam niedawno takiego maila (nie pamiętam czy z tego samego adresu) i dziwię się, że można być na tyle bezmyślnym żeby otworzyć taki plik. Robiłam ostatnio kilka większych zamówień więc w pierwszym momencie pomyślałam że może faktycznie jakąś fakturę przeoczyłam, ale nie było podanej nazwy firmy więc najpierw wrzuciłam adres e-mail w Google, naprawdę warto zawsze się zastanowić zanim otworzy się załącznik o wątpliwym pochodzeniu.
OdpowiedzNie znam się więc pytam> Czy oprogramowanie antywirusowe nie blokuje/wychwytuje takich wirusów?
Odpowiedz@Rak77: teoretycznie powinno, ale to zależy, co ma wpisane w bazie wirusów. @reyden: mi się udało ostatnio przez nieuwagę złapać malware z rozszerzenia iso, także tu też warto uważać.
Odpowiedz@Rak77: Oprogramowanie antywirusowe nigdy nie zabezpieczy cię w 100% bo to fizycznie niewykonalne. Chroni przed najpopularniejszymi obecnie typami wirusów i śmieci w twoim rejonie.
Odpowiedz@Litterka: Obrazy iso to inna kwestia - to rodzaj archiwum , zawiera w sobie inne pliki w tym exe .
Odpowiedz@Massai: Albo blokowanie określonych domen z poziomu samej przeglądarki, Chrome coś takiego posiada.
Odpowiedz@Rak77: Nie blokuje. Crypto Prevent też już nie pomaga.
Odpowiedz@Massai: Że się jeszcze wtrącę - objaśnij pospólstwu, co to jest JS , bo pewnie nie wszyscy wiedzą ( spokojnie.... to nie gryzie ) ;)
Odpowiedz@jasiobe: Gryzie! Instaluje śmieci a wyłączyć nie można, bo zbyt wiele stron korzysta.
Odpowiedz@sla: Mnie kiedyś Google ugryzło. Piekło i swędziało cholernie. Ale to pewnie złe Google było ;)
Odpowiedz@Rak77: Generalnie blokuje (gwarancji 100% nigdy nie ma), choć oczywiście nie każde oprogramowanie - tu co firma to różne umiejętności - osobiście znam tylko jeden program, który mi "szmaty" nie puścił, pewnie dla tego, że ma świetne algorytmy heurystyczne (rozpoznawanie kodu nieznanego - w uproszczeniu) i błyskawiczne producenci reagują błyskawicznie na wszystkie nowości, ALE... jak zwykle ALE-m jest ludź. Raczej niespostykaną praktyką biznesową jest wysyłanie faktur w załączniku w DOC (jak juą to prędzej w PDF) i masochistyczne, albo po prostu - proszeniem się o guza - jest otwieranie takich załączników (nie wspominając już o tym, że większość Windowzów ma "ukryte rozszerzenia znanych typów plików" i widoczne imię.doc faktycznie może być imię.doc.exe - czy inna binarka). Podsumowując: 1) Myśleć, myśleć, myśleć - jak to mawiał Toudi ;) 2) Dobry program antywirusowy (żaden bezpłatny - z wieloletniej praktyki pod taki nie podlega), osobiście i w zaprzyjaźnionych firmach ponad 10 lat używam ESET'a 3) Opcjonalnie - nietypowy system operacyjny (Linux / iOS) - ponad 90% wirusów przestaje być groźne (działają tylko na windows) choć i te systemy mają swoje słabsze strony i "dedykowane" wirusy 4) Komp podłączony do internetu i/lub płatności online - dobry antywirus obowiązkowy!
OdpowiedzDziwię Ci się, że zamiast zadzwonić na numer podany w stopce maila (ewentualnie sprawdzowszy go w internecie wcześniej, albo i nawet bez takiego sprawdzania, bo numer wygląda na polski) tylko wybierając go bez +48, otworzyłeś załącznik. Ponadto - najpierw należało też sprawdzić w księgowości, czy mieli taką fakturę.
OdpowiedzZmodyfikowano 1 raz. Ostatnia modyfikacja: 27 czerwca 2016 o 18:31
@katem: Przepraszam, że odpisuje dopiero teraz, nie miałem czasu na piekielnych i zapomniałem, że w ogóle coś dodałem. Nie odpaliłem załącznika. Sprawdziłem, tak jak piszesz, przeklepując wiadomość do binga. :)
Odpowiedz@katem: Dzwonienie na numer (nawet +48) może okazać się bardzo kosztowne... może to być jakieś premium, albo "automatyczna" subskrypcja usług premium - wuje google jako sprawdzenie brzmi całkiem rozsądnie.
OdpowiedzWysłałeś wirusa na adres firmy z końca wiadomości? To jesteś piekielny, bo wirus to nie ich wina i ktoś się podszywa. A jeśli na adres nadawcy - to gwaratuję Ci, że nikt go nie będzie otwierał, bo adres był stworzony właśnie w celu wysyłania wirusa. https://niebezpiecznik.pl/post/uwaga-na-maile-przypominajace-o-platnosci-za-fakture-nie-otwierajcie-dolaczonych-zalacznikow/ Dane firmy na końcu są poprawne, ale po prostu są wycięte z jakiejś innej wiadomości i nie pochodzą od nadawcy.
OdpowiedzTrzeba się w końcu nauczyć, że pewnych plików nie trzymamy na partycji systemowej, ba..... pliki wrażliwe ( doc, jpg, pdf, i parę innych ) trzymamy na dysku zewnętrznym z usb, podpinanym w razie konieczności. O backupach nie wspomnę, bo świat dzieli się na robiących takowe i tych, którzy po takiej przygodzie zaczną je robić. Tylko pięciuset ( plus ) fotek cioci z Paryżewa szkoda :(((((
OdpowiedzUserów mozna szkolić, mozna tłumaczyć, a i tak zawsze trafi się geniusz który ruszy coś czego nie powinien dotykać. Sam miałem niedawno sytuacje gdzie jedna userka rozpakowała sobie załącznik z cerberem. Oczywiście jak już jej się dane zaszyfrowały to twierdziła że ona nic nie zrobiła, że to samo się stało itd. Dlatego celowo dwa dni trzymałem ja w stresie że dane są nie do odzyskania.
OdpowiedzŻenująco łatwy do wykrycia spam. Sam to wczoraj dostałem. Lewy e-mail, brak polskich znaków, zamiast imienia nadawcy - pierwszy człon adresu (na example@gmail.com pisali by pewnie "Witaj example")... No cóż, nic tylko uświadamiać ludzi jak się przed tym bronić. Jako że robię w IT trochę to mam ochotę strzelić facepalma za każdym razem, kiedy ktoś się na to złapie.
Odpowiedz@Viktim: A co robi 90% userów, gdy widzi komunikat o wygaśnięciu certyfikatu SSL? Wychodzą z niebezpiecznej strony? Nie... zdecydowana większość dodaje do wyjątków i zapomina o sprawie.
Odpowiedz