Технический форум - Шифровирусы шумной толпою

Технический форум (http://www.tehnari.ru/)

- FAQ (http://www.tehnari.ru/f150/)

- - Шифровирусы шумной толпою (http://www.tehnari.ru/f150/t101001/)

вот еще один приемчик используют распространители шифраторов

Цитата:

Тема: ПРОЦЕСС No 268
Дата: Tue, 21 Apr 2015 01:50:04 +0200
От: Судебные приставы <mail@fssprus.ru>
Отвечать: Судебные приставы <mail@fssprus.ru>
Кому: <usernnn@mail.ru>

Уведомление о начале судебного разбирательства
Здравствуйте, usernnn@mail.ru

Поскольку Ваша финансовая задолженность не была урегулирована в добровольном порядке, новый кредитор вынужден прибегнуть к принудительным мерам взыскания, предусмотренным законодательством Российской Федерации: направлению выездных групп по адресу регистрации, судебному разбирательству, инициированию исполнительного производства до полного погашения задолженности. Напоминаем Вам, что в случае Вашего неучастия в процессе, решение суда может быть вынесено заочно, что может повлечь за собой принудительное исполнение решения суда. Всю информацию о ходе предварительного судебного производства и сроках рассмотрения, включая копию искового заявления, Вы можете получить перейдя по ссылке находящейся в конце этого письма.

ЗАГРУЗИТЬ ИНФОРМАЦИЮ

Это сообщение создано автоматической системой и не требует ответа.

здесь используется реальный домен службы судебных приставов (fssprus.ru), но адреса mail, inform - несуществующие.

по ссылке "загрузить информацию" как правило скачивается архив с вредоносной программой, сейчас таким образом распространяется шифратор Cryakl.

Мне вот другое интересно - а как злоумышленникам удалось воспользоваться доменом судебных приставов fssprus.ru? Там что, свой ящик может зарегистрировать кто угодно?
Если да, то сразу возникает вопрос о сохранности персональных данных. А это уже серьезное нарушение.

адрес конечно может быть подставлен любой.
поскольку для отправки используется любой smtp-сервер без авторизации.
было опровержение со стороны службы судебных приставов о рассылках вредоносных программ от их имени.

например:

Цитата:

Управление Федеральной службы судебных приставов России по Саратовской области предупреждает, что злоумышленники под видом электронных писем от Службы судебных приставов рассылают ссылки на вредоносные программы. В письмах содержится изображение, похожее на эмблему Службы и текст следующего содержания (орфография и пунктуация сохранены): «В связи с истечением срока обжалования, Управление организации исполнительного производства Федеральной службы судебных приставов Российской Федерации уведомляет Вас о начале исполнительного производства, о взыскании с Вас, как с лица выступившего поручителем заемщика денежных либо иных активов, для погашения финансового обязательства перед кредитором». Далее идет ссылка «Загрузить информацию», кликая по которой, пользователь автоматически загружает вредоносную программу. Письма приходят с адреса info@r64.fssprus.ru от «Департамента досудебного урегулирования ФССП» (подобного департамента не существует). Тема писем: «Иск судебный».
Официальный электронный адрес Управления ФССП России по Саратовской области mail@r64.fssprus.ru. Адрес info@r64.fssprus.ru в домене r64.fssprus.ru не зарегистрирован и не существует. Соответственно, полученные письма от info@r64.fssprus.ru никакого отношения к Федеральной службе судебных приставов и ее территориальным органам не имеют.

Новости -

статья от 2014 года, но актуальная и сегодня, тем более что Cryakl в последнее время таким образом и распространяется, через письма от судебных приставов.

Шифровальщик Cryakl или Фантомас разбушевался

+
название статьи говорит за себя.

Эволюция шифровальщиков и ошибки пользователей

пошли рассылки шифратора Cryakl-CL от системы арбитражных приставов.
ссылка на вредоносных архив идет из доменной зоны *.com

Вложение 229430

Александр, спасибо за интересную и важную информацию.

пример сообщения в электронной почте со ссылкой на шифратор (Seven_Legion2@aol.com.ver-CL 1.0.0.0):

Цитата:

От: ООО Строй-Тех [stroy-tex@mail.ru]
Отправлено: 15 июля 2015 г. 2:46
Кому: nv@giprogor.ru
Тема: акты приема-передачи

В пятницу к нам пришла налоговая с внеплановой проверкой.
Проверяют чуть ли не всю первичную документацию за последние три года...
Никак не могу найти несколько ТТН и актов приема-передачи по нашим с Вами поставкам((.
Большая просьба, не могли бы Вы найти со своей стороны оригиналы этих документов (список в приложении).
Если вдруг они найдутся, пожалуйста, скиньте нам сканы.
Заранее благодарю! Очень надеюсь, Вы нас спасете от санкций.

С ув. главный бухгалтер Мария Ольжик.
Прикрепленные файлы (1):
1. Перечень_ФНС-25.05.rar

В этом сообщении вирусы не обнаружены.
Проверено AVG - www.avg.com
Версия: 2014.0.4821 / Вирусная база данных: 4365/10233 - Дата выпуска: 15.07.2015

Очень внимательно прочитал всю тему. (ща кто-то скажет, опять он про др.Веб))) ДА!!!! ОПЯТЬ!!! Четыре года - полет нормальный. Купите оф. dr.Web ---и не заморачивайтесь! ... прям читать смешно, ей богу... :trio:

Цитата:

Сообщение от deep.smr (Сообщение 1154584)

Купите оф. dr.Web ---и не заморачивайтесь!

с аналогичными заявлениями выступают и ЛК (мы ловим 100% вирусов) и ESET (купил антивирус, поставил и забыл (видимо про угрозы)). Тем не менее форумы DrWeb, ЛК, ESET переполнены темами о заражении шифраторами, в том числе на стороне легальных пользователей. Так что проблема эта актуальна уже в течение полтора года - и одной шашкой, то бишь, постановкой антивируса она не решается.