Janusz z DPD nie dostarczył paczki? Uważaj, tak chcą ci podrzucić wirusa

analityk Bankier.pl

Na losowo wybrane adresy e-mail trafiła dziś informacja wysłana rzekomo przez firmę kurierską DPD. W jej treści znajduje się wiadomość o nieudanym dostarczeniu paczki. Użytkownik zainteresowany szczegółami kierowany jest na fałszywą stronę skąd może pobrać plik z informacjami o wysyłce. W rzeczywistości pobiera wirusa.

Na naszą redakcyjną skrzynkę trafiła wiadomość o nieudanym doręczeniu paczki przez kuriera DPD. „Informujemy, że dziś 06-02-2017 w godzinach 15:30-16:00 kurier JANUSZ nie był w stanie dostarczyć swój numer paczki” – czytamy e-mailu.

Informacja została przesłana z adresu polska@dpd.com. Na pierwszy rzut oka wygląda na prawdziwą wiadomość z firmy kurierskiej. Gdy się wczytamy, możemy jednak dostrzec wiele błędów językowych.

Tak wygląda fałszywa wiadomość z DPD
Tak wygląda fałszywa wiadomość z DPD

W wiadomości podany jest link, który odsyła na rzekomą stronę firmy kurierskiej dodatkowe szczegóły. Ofiara kierowana jest na adres: http://fge.trackdpd.org i proszona o przepisanie tzw. kodu captcha w celu uzyskania informacji.

Po wpisaniu wskazanych cyfr rozpoczyna się pobieranie pliku ZIP. Po jego rozpakowaniu w folderze znajdujemy plik skryptu w języku JScript. Uruchomienie skutkuje najprawdopodobniej wgraniem złośliwego kodu do komputera.

Pobrany plik to w rzeczywistości skrypt w języku JScript
Pobrany plik to w rzeczywistości skrypt w języku JScript

Działanie pliku może być różne. Może prowadzić na przykład do zablokowania komputera w celu uzyskania okupu przez przestępców. Może to być też próba zainfekowania maszyny wirusem, który podmieni stronę logowania do banku. Kiedy ofiara wpisze tam hasło i login, informacje te trafią w ręce złodzieja.

Niedawno z podobnym atakiem zmagała się sieć Play. Oszuści przesyłali na losowo wybrane adresy e-mail fakturę, która miała wyglądać jak plik PDF.  Był to również skompresowany skrypt napisany w języku JScript.

Wojciech Boczoń

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 0 ~Aga

Ja ten problem miałam dzis, ale z innej strony- moj nr byl podany w mailach jako kuriera i caly dzien wydzwaniali mi wlasciciele firm, bo do nich byly generowane zainfekowane maile....

! Odpowiedz
0 0 ~ZQW

Udało mi się odzyskać prawie wszystkie dane bez płacenia.
Jeżeli komuś to pomoże to przekazuję rady :
1. Uruchomiłem komputer bez dostępu do internetu zgodnie z pktem2 opisanym na stronie :
https://www.pcrisk.pl/narzedzia-usuwania/7878-crypt0l0cker-virus
2. Wgrałem na pendrive wszystkie możliwe programy antywirusowe ( darmowe ) i przeskanowałem dysk usuwając wirusa i przy okazji inne badziewia
3. Na pendrive wgrałem darmowy program recuva do odzyskiwania danych.
Osobiście wgrałem go ze strony : http://www.piriform.com/recuva/download
Po zainstalowaniu Recuvy - z dysku c: niestety odzyskał tylko zaszyfrowane pliki ale z właściwymi nazwami. Żadnego nie dało się otworzyć. Ponowiłem próbę na shadow disk z datą 08.02.2017 ( były opcje c: , pendrive i shadow diski ) . Odzyskał mi wszystkie pliki z czasu sprzed ataku wirusa. Trwało to trochę , ale cierpliwość się opłaciła.
System operacyjny Windows 7. Polecam metodę !!!


Pokaż cały komentarz ! Odpowiedz
0 0 ~ZQW

Mając programy takie Total Commander ( narzędzie wielokrotnej zamiany nazw ) , jakikolwiek arkusz kalkulacyjny typu openoffice ( MS office, Libre office itp.) - aby instrukcjami "&" przygotować plik tekstowy do wsadzenia do pliku C++ ( instrukcje remove - plik i CopyFile - plik ) oraz darmowy program Falcon C++ z minimalną znajomością C++ , udało mi się do tego powsadzać odzyskane pliki we właściwe miejsca tam gdzie były wcześniej praktycznie z automatu, choć dla każdego rozszerzenia nazwy należało to zrobić oddzielnie.
Na szczęście wirus pozostawiał te same nazwy plików we właściwych folderach , zmieniając tylko rozszerzenie.
Na chwilę obecną oceniam walkę ze skutkami ataku jako dobrą zabawę. Każdy lamer powinien dać sobie z tym radę.

Pokaż cały komentarz ! Odpowiedz
1 0 ~Gg

Takiego e-maila dostałam to temu. Zadzwoniłam do dpd i poinformowałam - okazało się że wiedzą o tym. Nie spodobał mi się adres nadawcy - przecież wystarczy rozwinąć adres i widać dokładnie. Wcale nie trzeba wgłębiać się dalej w wiadomość. Zakładając konto wszystko mogę wpisać w nazwie, która ma być wyśwuetlana. nawet DPD - i tak będzie się wyświetlać. Ale pewnie znajdą się tacy, którym lampka kontrolna się nie zaświeci i otworzą załącznik.

Pokaż cały komentarz ! Odpowiedz
0 1 ~Kazik

Nic wielkiego. Zakodowany plik który koduje pliki. Jeśli ktoś na wykupony jakiś host i postawioną stronkę www radzę sprawdzić zmiany w plikach na ftp, ponieważ ten plik dopisuje do kodu swój złośliwy kod i wysyła masowo emaile z tzw. spamem.
Pozdrawiam

! Odpowiedz
0 0 ~andrzej

Myśle ze gościu też mi chciał wcisnąć wirusa..Bo tego programu nie mam na kompie a on mi jakąś fakture podsyła..Nawet komp nie otworzył..Wię mu odpisałem ..
Zobaczcie.
Witam,
Na dzień dzisiejszy nie odnotowaliśmy wpłaty za faktury. W załączeniu przesyłam listę!
Jeżeli należności zostały uregulowane proszę uznać powyższą wiadomość za nieważną. W przypadku nieuregulowania płatności w terminie 3 dni od dnia otrzymania tej wiadomości, sprawa może zostać skierowana do windykacji.

Z poważaniem,
Łukasz Jasiński
e-mail: wsbiz@wsbiz.pl

Pokaż cały komentarz ! Odpowiedz
0 0 ~warszawiak

to nie byly losowo wybrane adresy ...

! Odpowiedz
1 3 ~programista

niech ktos wkleji kod tego skryptu to sie posmiejemy :D

! Odpowiedz
0 0 ~andrzej

Myśle ze gościu też mi chciał wcisnąć wirusa..Bo tego programu nie mam na kompie a on mi jakąś fakture podsyła..Nawet komp nie otworzył..Wię mu odpisałem ..
Zobaczcie.
Witam,
Na dzień dzisiejszy nie odnotowaliśmy wpłaty za faktury. W załączeniu przesyłam listę!
Jeżeli należności zostały uregulowane proszę uznać powyższą wiadomość za nieważną. W przypadku nieuregulowania płatności w terminie 3 dni od dnia otrzymania tej wiadomości, sprawa może zostać skierowana do windykacji.

Z poważaniem,
Łukasz Jasiński
e-mail: wsbiz@wsbiz.pl

Pokaż cały komentarz ! Odpowiedz
2 7 ~ap

Kliknąłem z rozpędu, pojawił się komunikat, że działa tylko pod Windows, czy coś podobnego. Kliknąłem na Macu. Chyba na szczęście.

! Odpowiedz
Polecane
Najnowsze
Popularne