Uwaga na wiadomość podszywającą się pod komunikat o kontroli GIODO

dodał 23 czerwca 2017 o 17:54 w kategorii Złośniki  z tagami:
Uwaga na wiadomość podszywającą się pod komunikat o kontroli GIODO

Trzeba przyznać, że dawno nie było ataku na adwokatów i notariuszy. Dzisiaj około godziny 15 do skrzynek kancelarii adwokackich i notarialnych w całej Polsce zaczęły przychodzić wiadomości podszywające się pod komunikat o kontroli GIODO.

Kancelarie adwokackie i notarialne były swojego czasu bardzo popularnym celem przestępców – zapewne internetowi złoczyńcy byli skuszeni wizją bogactw, które rzekomo owe kancelarie posiadają. Od dłuższego czasu nie widzieliśmy ataków wycelowanych w tę kategorię odbiorców, ale najwyraźniej właśnie do nich doszło.

Złośliwa wiadomość

Niebezpieczna wiadomość nosi tytuł Powiadomienie o planowanej kontroli GIODO w państwa Kancelarii i nie licząc logo GIODO oraz podpisu w formie standardowej stopki nie zawiera żadnej dodatkowej treści. Wygląda tak:

Nadawcą jest adres

Ciekawsze rzeczy zaczynają się dziać w załączniku. Plik o nazwie

zawiera folder

oraz plik

o zawartości

Folder zawiera plik

zabezpieczony hasłem. W nim z kolei znajduje się folder

a w nim plik

Plik VBS jest odrobinę zaciemniony i wywołuje polecenie PowerShella o treści

Odkodowanie pozwala na ujawnienie poniższej treści:

Jego funkcja to pobranie i uruchomienie pliku EXE ze ścieżki wymienionej powyżej.

Plik EXE

Jeśli niezwykle skomplikowany system pakowania pliku docelowego coś Wam przypomina, to pewnie słusznie. W końcowym pliku EXE znajduje się bowiem Polski Ransomware / Vortex/ Flotera. Fragment notatki o okupie wygląda następująco:

Masz problem ze znalezieniem potrzebnych danych? Nie możesz otworzyć swoich plikow?
Wszystkie istotne pliki zostały zaszyfrowane!
Aby odzyskać pliki skontaktuj się z nami pod adresem: 3NIGMA@0.PL lub 3NIGMA2@PROTONMAIL.COM
Odszyfrowac Twoje pliki mozna tylko przy pomocy dedykowanego programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
Dwa pliki odszyfrujemy bez opłaty za pozostałe będziecie Państwo musieli zapłacić 200$
Radzimy decydować się szybko, 72 godziny od zaszyfrowania opłata zostanie podniesiona do 400$.

Sam ransomware wykonuje między innymi połączenia do serwera:

z którego pobiera klucz do szyfrowania danych,

z którego pobiera aktualny adres IP oraz

prawdopodobnie serwerów C&C. Zawiera także ścieżkę

Po uruchomieniu wyświetla taki komunikat:

Dostaliście tego emaila?

Jeśli otrzymaliście opisywaną powyżej wiadomość, skontaktujcie się z nami – mamy do Was sprawę.

Istotne informacje

Nagłówki wiadomości:

 

Domeny powiązane z atakiem:

Pliki powiązane z atakiem:

Dziękujemy Czytelnikom którzy zgłosili wiadomości oraz Anonimowym Analitykom którzy je szybko i anonimowo przeanalizowali.