Hledá váš počítač ve vyhledávači Rambler? Máte ho napadený virem

Pokud váš počítač náhle začal vyhledávat přes Rambler  a adresu nova.rambler.ru, tak byste měli vědět, že ho máte napadený virem. Samotné vyhledávání prochází skrz Google, ale Rambler z napadení vašeho počítače a přesměrování na sebe získává peníze. A navíc vám může kdykoliv počítač napadnout ještě něčím dalším. Continue reading „Hledá váš počítač ve vyhledávači Rambler? Máte ho napadený virem“

Mailem opět chodí faktury obsahující ransomware. Stačí otevřít ZIP a spustit v něm uložený JavaScript

Osvědčený systém posledních týdnů se včera a dnes vrátil s masivními mailovou kampaní šířící stále totéž – ZIP obsahující JavaScript. Ten se při spuštění postará o stažení a spuštění ransomware. Aktuální kampaň má předmět „New Invoice“ a tváří se jako faktura. Windows Defender to velmi rychle zachytává jako Locky.A, což je poměrně známá varianta ransomware (viz například Look Into Locky Ransomware)

2016-05-28 19_17_42-Spam (550) - daniel@justit.cz - JustIT.cz Mail

2016-05-28 19_18_05-Start

Nezapomeňte, že pokud by se někomu podařilo .js (JavaScript) soubor spustit a nezasáhl by antivirový program (nebo antimalware program), má poměrně dost zásadní problém. Ransomware napadne systém, zašifruje soubory a neumožní je získat zpět bez zaplacení.

2016-05-28 19_19_49-Start

Pokud netušíte o co v případě ransomware jde, tak viz Co je to ransomware?

Nenaleťte na WhatsApp Gold. Žádná lepší placená verze neexistuje, je to jenom klasický scam.

Bylo to tady mnohokrát před lety v rámci Facebooku. Podvodníci zkoušeli na uživatele různé triky jak jim prodat „lepší“ Facebook, „ověřené účty“, aplikaci co mají celebrity (taková skutečně existuje) nebo VIP účty. Je to už tak dávno, že jsem úplně zapomněl na výbornou taškařici okolo  Staňte se VIP uživateli facebooku, Skupiny co už dnes neexistuje, ale můžete si o tom přečíst v Místo VIP členství na Facebooku se stalo velké … hovno Continue reading „Nenaleťte na WhatsApp Gold. Žádná lepší placená verze neexistuje, je to jenom klasický scam.“

Pozor na masově šířené viry v přílohách k e-mailu. Otevření a spuštění má velmi špatné následky

Už od začátku března se v mailech šíří malware, které vede ke stažení ransomware (viz E-mailem se šíří viry s „kompenzací“ či „fakturou“. Zip uvnitř skrývá zajímavý JavaScript). Ale zatímco v předchozích dnech šlo o pár kousků denně, tento týden přicházejí i desítky takovýchto mailů denně. Continue reading „Pozor na masově šířené viry v přílohách k e-mailu. Otevření a spuštění má velmi špatné následky“

E-mailem se šíří viry s „kompenzací“ či „fakturou“. Zip uvnitř skrývá zajímavý JavaScript

E-mailem se opět šíří viry, které se sociálním inženýrstvím snaží dosáhnout otevření přílohy (tou je ZIP soubor) s následným otevřením obsahu. Dvojice souborů v ZIP obsažených ale není ani klasický výkonný soubor či často používaný spořič obrazovky. Najdete tam dva .js (JavaScript) soubory s obsahem, který je hodně důsledně rozdělován do řady rozsekaných textů a blok tak, aby bylo velmi obtížné poznat, co se vlastně bude dít.

2016-03-08 17_59_32-Centrum akcí

 

 

Varianta „kompenzace“. Níže varianta „faktura“.
V obou případech je v příloze ZIP s dvojici JavaScript souborů.
2016-03-08 18_20_08-Spam (421) - daniel@justit.cz - JustIT.cz Mail

 

VirusTotal tenhle vzorek detekuje prozatím alespoň ve dvou případech jako EUR.JS.Trojan.bJS/TrojanDownloader.Nemucod.ID. Windows Defender například nereaguje vůbec, ale to je poměrně obvyklá situace u nových věcí.

2016-03-08 18_02_31-Start

2016-03-08 18_03_01-view letter.865160137.js - Far 3.0.3367 x64

Spuštěním JavaScriptu dojde ke stažení a spuštění souborů z Internetu, samotný JavaScript v počítači žádné změny nedělá, je to opravdu jenom kod pro stažení dalších programů, které poslouží k napadení počítače.

E-mailem opět chodí falešné faktury obsahující, jak jinak, virus

Nová vlna „faktur“  v angličtině, majících řadu náhodných odesilatelů obsahuje přílohu v podobě dokumentu vypadajícího jako z Wordu, ale ve skutečnosti obsahující virus. Microsoft Defender ve Windows 10 klasicky o škodlivém obsahu nemá nejmenší ponětí, ale pokud zkusíte soubor předložíte některé z dostupných služeb na kontrolu na viry, tak velmi rychle zjistíte, že otevírat to by byl opravdu špatný nápad. Jedna z detekcí přitom ukazuje na W97M/Adnel, tedy škodlivé makro ve Wordu či Excelu.

2016-02-19 18_44_43-Spam (327) - daniel@justit.cz - JustIT.cz Mail

To se ve skutečnosti postará (za předpokladu že po otevření povolíte spuštění makra) o stažení samotného viru, což odpovídá i další detekci na Trojan-Downloader:W97M/Dridex.S – tradičně tento virus patří k těm, které jdou po přihlašovacích údajů do bankovnictví.

2016-02-19 18_46_31-Antivirus scan for 637026f5eddf5ccda31b3b88485d7e3dd8558d8c4e8b94b8be6cdd7b6d827

2016-02-19 18_54_28-view invoice_feb-12401412.doc - Far 3.0.3367 x64

Dodatek 12 hodin po vydání. Windows Defender už virus detekuje, označuje jako ho jako W97M/Bartallex.

2016-02-20 07_56_08-Windows Defender

 

Falešná faktura či objednávka ve které najdete, jak jinak, trojského koně

V ESET (a nejenom tam) mu říkají Kryptik a dostat se k vám může snadno v podobě ZIP přílohy, ze které na vás vypadne .js (JavaScript soubor). Je dost jisté, že něco takového si pořídit nechcete. Ale je dost jisté, že nějaká naivní osoba to otevře, rozbalí a spustí. Continue reading „Falešná faktura či objednávka ve které najdete, jak jinak, trojského koně“