CryptOLOcker czyli fałszywe maile od DPD

Do ekspertów z G DATA Security Labs trafiła nowa, mało innowacyjna, kampania spamowa dystrybuująca zagrożenie szyfrujące o nazwie Crypt0L0cker.

Dlatego też, jeżeli nie czekacie na kuriera, a otrzymaliście informacje o próbie doręczenia przesyłki, miejcie się na baczności. Zawsze warto przestrzegać kilku zasad bezpieczeństwa, które znajdziecie na końcu tego wpisu.

Fałszywe maile DPD – o co właściwie chodzi?

Spam jest bardzo podobny do tego używanego w kampanii, w której cyberprzestępcy podszywali się pod znanego dostawcę energii elektrycznej i rozsyłali fałszywe faktury za prąd. Tym razem hakerzy zgłaszają się do nas udając firmę kurierska DPD. Fałszywe maile DPD informują atakowane osoby o nieudanej próbie doręczenia przesyłki. Kurier, o rzadko spotykanym imieniu WIELISŁAW, rzekomo nie zastał nas pod wskazanym adresem. Zatrzymajmy się jednak na chwilę w tym miejscu. Wielisław to staropolskie imię oznaczające „tego, który pragnie sławy”. Czyżby twórcy ataku liczyli nie tylko na finansową korzyść, lecz także na uznanie wśród tzw. „bad guys”? Możemy tylko przypuszczać, że hakerzy mają parcie na szkło.

Kup149,95 PLNG DATA INTERNET SECURITY

kurier WIELISŁAW nie był w stanie dostarczyć swój numer paczki:

Musisz uzyskać informacje o wysyłce i wydrukować go, aby otrzymać paczek

Wirus DPD – co powinno wzbudzić naszą czujność?

Treść wiadomości, jak w takich kampaniach najczęściej bywa, obfituje w rozmaite błędy i literówki. To pierwszy sygnał ostrzegawczy. Żadna firma nie pozwala sobie na taką ilość pomyłek. W pasku nadawcy widnieje adres pi**[email protected], który mniej spostrzegawczym użytkownikom może wydawać się podobny do oryginalnej strony firmy. To kolejne ostrzeżenie, że prawdopodobnie jest to wirus DPD.

Jeżeli otrzymaliście taką wiadomość pod żadnym pozorem nie wykonujcie kolejnych opisanych tu czynności!

CryptOLOcker jak odzyskać pliki, a właściwie jak je łatwo stracić?

Po kliknięciu w odnośnik przenosimy się na stronę, której twórcy nie uchronili się od błędów. Cyberprzestępcy przygotowali całkiem udaną kopie oryginalnej podstrony do śledzenia paczek DPD.  Mamy małe różnice jeżeli chodzi o czcionkę, ale grafiki pozostały te same.

Po wpisaniu fake captcha, możemy pobrać rzekomy list przewozowy niezbędny nam do odebrania paczki. To ZIP zawierający plik .js będący zapewne dropperem ransomware. Chwila nieuwagi i tracimy kontrolę nad naszymi plikami. Pozostaje nam zastanawianie się czy to co mieliśmy na dysku warte jest bitcoina, czy też nie oraz jak wartościowe ewentualnie dla nas było. W tej chwili zagrożenie nie jest wykrywane przez silniki AV na podstawie baz sygnatur. Jednak użytkownicy antywirusów G  DATA mogą spać spokojnie. Kontrola zachowania w naszym oprogramowaniu wraz z najnowszym modułem AntiRansomware wykrywa i zabija opisywany atak. Czytelnicy, którzy nie posiadają AV na pokładzie powinni mieć się na baczności.

Poniżej podajemy Wam podstawowe zasady, których powinniście przestrzegać, aby nikt nie zaszyfrował wam plików:

• Fundament to sprawdzone oprogramowanie antywirusowe
• Kopie zapasowe najważniejszych dla nas plików (zdjęcia, arkusze z pracy itp.)
• Pamiętaj o aktualizacji. Oprogramowanie na Twoim komputerze powinno być zawsze możliwie najbardziej aktualne. Dzięki temu zamkniesz luki bezpieczeństwa.
• Sprawdzaj dokładnie korespondencje mailową.
• Nie klikaj w przekierowanie bez uprzedniego zastanowienia.
• Jeżeli kliknąłeś to sprawdź czy jesteś na stronie na która chciałeś trafić.
• Pracuj na koncie użytkownika, nigdy administratora (UAC – user account control)