Внимание новый развод вирусов шифровальщиков. (свежий предпраздничный)

Приходит письмо вроде как от manager_nat@info.ru (или любого другого) ,

в письме вас слезно просят:


"Здравствуйте,

Нужно дублирование поставки, а можно сегодня оформить? А то не очень хочется затягивать это на праздники.

Заранее спасибо

здесь лежит документ  <---------идет ссылка на "документ"

С уважением, Наталья Сергеева"


Отгадайте что по ссылке? По ссылке php файлик с телом



window.location="http://155.94.67.9/(затру на всякий случай)"



смотрим адрес:


IP 155.94.67.9

Хост: 9.67.94.155.static.reverse.as19531.net

Город: Jacksonville

Страна: United States

IP диапазон: 155.94.64.0 - 155.94.111.255

Название провайдера: Nodes Direct


p.s По ссылке скачивается что то похожее на *.doc.exe Ну а дальше я объяснять не буду. Раньше просто тупо слали сами файлы но т.к. теперь их бьют уже в процессе доставки (ну не все нам просочились "договора.jar" и "отдать в бухгалтерию срочно.scr")присылают уже ссылки на всякие файлопомойки (бедный гуглодиск.. и "скайп" ;) ) Предупредите бухов и секретарей что бы не открывали такую пакость. А то праздники проведете на работе. ;) А какие письма приходят вам?  Удачных выходных.

7
Автор поста оценил этот комментарий

Вчера на бухгалтерию письмо пришло с наездом, типа "Мы с вашим шефом 2 недели назад еще договорились, где поставка оборудования? скрин переписки тут -> ссылка на левый сайт.

Хорошо, буха нашего я выдрессировал и она по таким письмам меня зовёт.

раскрыть ветку
3
Автор поста оценил этот комментарий

Они на этом и горят, что неправильно начинают письмо....

Вот если бы письмо с приложенным файлом начиналось

" Добрый день, просим вас выставить коммерческое предложение на товарные позиции во вложении...." и сам файлик, только не exe то любая торговая компания повелась бы.... короче нет у них нормального пиарменеджера (или менеджера по "холодным" продажам.

раскрыть ветку
1
Автор поста оценил этот комментарий

Т.к. обучаю спамассассин на работе вручную, просматриваю много всякой ерунды. Письма с вложениями js vbs exe scr и их архивными вариантами отбрасываются, поэтому идут письма без вложений или с ссылками на какие-нибудь файлы залитые на взломанные сайты на wordpress (видимо есть уязвимость, характерно в пути ссылки папка wp-content) или офисные файлы в которых либо макросы либо ссылки и текст "Этот документ сделан в более новой версии офиса, включите макросы для отображения". В теле письма обычно или "у вас задолженность" или "у нас внезапная проверка, подпишите документы"

1
Автор поста оценил этот комментарий

я конечно секретов-то не открою, но без бекапов жизнь вообще тяжёлая. даже можно на эту же машину бекапить, просто грамотно настроить права нтфс, и юзер ничего не натворит.

раскрыть ветку
Автор поста оценил этот комментарий

Недавно было: пришло письмо на оплату счета с вложением файла invoice_J-15678234.doc, бухгалтерия подвоха не заметили и открыли, там непонятная мешанина символов, вроде как неизвестная кодировка и сообщение: включите макросы, если текст не читабелен. Вот тут и начался звездец, вирус зашифровал все, до чего смог дотянуться. В общем восстановление и чистка была веселой.