Liczba postów: 51
Liczba wątków: 3
Dołączył: 20.10.2014
Reputacja:
0
Witam.
Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku?, z jakiej racji. Dziwniejsze jest to, że do wiadomości został dołączony załącznik. Postanowiłem go pobierać i rozpakować, ale wcześniej uruchomiłem przeglądarkę w Sandobxie. Plik został podwójnie spakowany za pomocą programu Winrar. Wiele programów nie potrafi poprawnie przeskanować takiego pliku.
Oto treść:
დაბოლ,
ნც შთაბეჭ, აქო ომი ა, რმეები მაგ. ‘ომი არის დაუფარავი. ანუშორებლივ და . და ამ ბრძო¬ლის ერთად, ყოველს ერს ! მოქარგულ აჭრელე? დამწვა მატირადამდ! აში ერთვება მ! ლურ-ბიუროკრატიულ სი-ო წრეში ეს, ბი აქ კიდევ, საზრისით შეზღუდული .
----
1 x ის) განმსაზ: 21.74 EUR
----
ლი სულის: 21.74 EUR
არის სამა "class_invoice.zip" იტეს კარს
ს გულისათვ,
Class Marine Ltd
ერილი ქმელია
Wiadomość została wysłana z e-mail: <!-- e --><a href="mailto: [email protected]"> [email protected]</a><!-- e -->
Musi być to coś świeżego, ponieważ mój skan w virustotal był pierwszym skanem tego pliku : [Aby zobaczyć linki, zarejestruj się tutaj]
Korzystam z oprogramowania antywirusowego 360TS i podczas próby uruchomienia zaawansowana heurystyka wykryła intruza: [Aby zobaczyć linki, zarejestruj się tutaj]
I gdyby ktoś chciał pobrać sobie ten plik do testów: [Aby zobaczyć linki, zarejestruj się tutaj] (nie ponoszę odpowiedzialności za wyrządzone szkody nieumiejętnym obsługiwaniem się potencjalnie niebezpiecznych plików).
Z tego miejsca chciałbym zaapelować - nie otwierajcie (głównie laicy) tego typu plików, a głównie plików z nieznanych źródeł bez korzystania ze szczelnego sandboxa czy maszyny wirtualnej.
Wiem, że na tym forum jest wiele osób zajmujących się skanowaniem tego typu plików, więc proszę o informacje czy jest to coś niebezpiecznego.
Pozdrawiam
(nie chciałem podpinać się do istniejących tematów, aby nie zaśmiecać, jeżeli to błąd to proszę o przeniesienie)
Liczba postów: 956
Liczba wątków: 57
Dołączył: 25.02.2014
Reputacja:
97
Coś z czarnej półki.
1. Wiadomość z Gruzji, samo to w sobie jest już dziwne.
2. Załącznik podwójnie spakowany, do tego format .scr, podejrzane, nawet bardzo.
Gratuluję szybkiej i dobrej reakcji. No i plus dla 360 TS
Ze swojej strony.
Wyślę to do laboratorium COMODO.
Dzięki.
Ps.
Jest jakieś hasło do archiwum
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 51
Liczba wątków: 3
Dołączył: 20.10.2014
Reputacja:
0
Nie ma hasła, jest to magazyn prosto pobrany z poczty.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
zieloczek100 napisał(a):Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku?
Tak na szybko,radzę uważać na to.
Ransomware CTB Locker
Uzyskuje dostęp do sieci za pomocą usługi dns resolver.
Działań jest więcej,ale nie chce mi się dokładnie tego sprawdzać.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass. infected
Liczba postów: 956
Liczba wątków: 57
Dołączył: 25.02.2014
Reputacja:
97
tachion napisał(a):zieloczek100 napisał(a):Dzisiaj dostałem maila z załącznikiem. Można by powiedzieć dostać e-mail to nic dziwnego, ale w Gruzińskim języku?
Tak na szybko,radzę uważać na to.
Ransomware CTB Locker
Uzyskuje dostęp do sieci za pomocą usługi dns resolver.
Działań jest więcej,ale nie chce mi się dokładnie tego sprawdzać.
[ [Aby zobaczyć linki, zarejestruj się tutaj] ]
[Aby zobaczyć linki, zarejestruj się tutaj]
A hasło jest jakieś?
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Zawsze jest albo sg albo infected
Liczba postów: 51
Liczba wątków: 3
Dołączył: 20.10.2014
Reputacja:
0
W załączniku, który dostałem jest podobny Locker? - nie mam chwilowo maszyny wirtualnej, aby to przetestować.
Liczba postów: 51
Liczba wątków: 3
Dołączył: 20.10.2014
Reputacja:
0
Tak wyglądała ta "wiadomość"
[Aby zobaczyć linki, zarejestruj się tutaj]
klika minut później (po otworzeniu wiadomości)
[Aby zobaczyć linki, zarejestruj się tutaj]
po kliknięciu next
[Aby zobaczyć linki, zarejestruj się tutaj]
i widok na zablokowane pliki
[Aby zobaczyć linki, zarejestruj się tutaj]
Wszystko robione na maszynie wirtualnej. W procesach oprócz wordpada pojawiał się jeszcze inny proces. Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać?
Osoby, które mają zamiar to uruchamiać - pamiętajcie, robicie to na waszą odpowiedzialność
Liczba postów: 1 515
Liczba wątków: 649
Dołączył: 23.07.2012
Reputacja:
267
Wyślę to do labu Emsisoft.
Z tego co widzę, plik podszywa się pod wygaszacz ekranu.
Pozdrawiam,
Mikołaj
Tiranium Internet Security Widzi zagrożenie , Zemana 0 reakcji
Cytat:Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać?
CBŚ Ci wjedzie na chate , a tak na poważnie to Ransomware CTB Locker (zastanawiam się jak jest z prywatności ) lubi zmieniać IP tak jak np zenmate.
Po 5 minutach po przeskanowaniu Ransomware CTB Locker Tiranium krzyszczy Alert(wiadomość na pulpicie jak i wiadomość głosowa)
Liczba postów: 1 791
Liczba wątków: 59
Dołączył: 13.11.2009
Reputacja:
20
KIS 2015 podczas pobierania alarmuje o zagrożeniu:
Trojan-Downloader.Win32.Cabby.cccy
••• KASPERSKY Internet Security 2018 | ZEMANA AntiMalware 2 •••
Liczba postów: 51
Liczba wątków: 3
Dołączył: 20.10.2014
Reputacja:
0
Geniusz napisał(a):Ransomware CTB Locker (zastanawiam się jak jest z prywatności ) lubi zmieniać IP tak jak np zenmate.
Po 5 minutach po przeskanowaniu Ransomware CTB Locker Tiranium krzyszczy Alert (wiadomość na pulpicie jak i wiadomość głosowa) Od tego momentu wiele nie rozumiem
Możesz jaśniej?
O co chodzi z tym "lubi zmieniać IP" ?
czyli ten wirus zmienia Ci IP (Maszyna wirtualna była uruchomiona na niezmienionym IP, mam się czego obawiać?)
Liczba postów: 51
Liczba wątków: 3
Dołączył: 20.10.2014
Reputacja:
0
Wirusa uruchomiłem na maszynie wirtualnej (a wcześniej też w sandboxie), czy mimo to, ten wirus nadal może coś robić w systemie, czy tylko mógł zmieniać IP podczas kiedy był uruchomiony?
mógł Ci zainfekować system i nie ważne czy go uruchamiałeś wystarczy że go pobrałeś , ze względu na to że laptopa miałem czystego a po pobraniu tego wirusa mam powyżej 50 infekcji tak jak pokazuje mi scaner esetu kilka koni trojańskich i pupy , pusc skana scanerem eseta Tiranium krzyczy że muszę restartować system czyli jest nie spokojny
Liczba postów: 51
Liczba wątków: 3
Dołączył: 20.10.2014
Reputacja:
0
Raczej przez winrara się nie przebije, u siebie odpalałem to jedynie w sandboxie i maszynie wirtualnej. Mimo wszystko włączę zaraz skan w 360TS. Nawet nie uruchamiałem tego, bo 360TS przy próbie otworzenia od razu wykrył zagrożenie.
Liczba postów: 1 515
Liczba wątków: 649
Dołączył: 23.07.2012
Reputacja:
267
Wirusy zarchiwizowane nie są groźne, dopóki ich się nie rozpakuje.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
zieloczek100
To co ty dałeś to Trojan Downloader który ściąga do temp ransoma tego i go wykonuje.
Geniusz
Nie pisz bzdur
Liczba postów: 51
Liczba wątków: 3
Dołączył: 20.10.2014
Reputacja:
0
tachion napisał(a):zieloczek100
To co ty dałeś to Trojan Downloader który ściąga do temp ransoma tego i go wykonuje.
I w rezultacie dostajemy ładnie opakowaną informację o zaszyfrowanych plikach
|