12:00
12/5/2015

Od mniej więcej tygodnia, przez polski internet przelewa się fala e-maili rzekomo nadawanych przez Pocztę Polską i informujących o “niedostarczonych przesyłkach”. Tym razem jednak załącznik nie jest zainfekowany bankerem (oprogramowaniem do wykradania danych dot. bankowości internetowej i podmiany kopiowanych do schowka numerów rachunków) a tzw. ransomware, czyli oprogramowaniem, które szyfruje pliki na dysku twardym ofiary i domaga się wpłaty za ich odszyfrowanie. Jego najbardziej znanym przypadkiem jest CryptoLocker.

“Niedostarczone przesylki” od Poczty Polskiej

Oto przykład treści wiadomości (jak widać, najprawdopodobniej autorstwa zagranicznych przestępców):

Fałszywa wiadomość od Poczty Polskiej

Fałszywa wiadomość od Poczty Polskiej

Pomiędzy kolejnymi wysyłkami zmieniają się daty i numery zawarte w wiadomości

Temat: Niedostarczone przesylki na 11.05.2015, kod:136769
Data: Tue, 12 May 2015 03:53:38 +0300
Nadawca: Poczta Polska
Odpowiedź-Do: Poczta Polska

Poczta Polska
Kurier nie dostarczył przesyłkę do numeru zgłoszenia RR6453636916PL na adres 11.07.2015, ponieważ nikt w tym czasie. Proszę zobaczyć informacje na temat wysyłki, drukowania i iść na pocztę, aby otrzymać pakiet.

Zobacz informacje

Uwaga
Jeżeli przesyłka nie dotrze w ciągu 7 dni roboczych Poczta Polska będzie miała prawo do ubiegania się koszty utrzymania przesyłka 50 zł za jeden dzień. Dziękujemy za korzystanie z naszych usług dostawy. Życząc miłego dnia Twoja Poczta Polska.
To jest generowany automatycznie e-mail, kliknij jeżeli chcesz się wypisać
Poczta Polska S.A. (c) 2015. Wszelkie prawa zastrzeżone.

Niby kiepskie, a skuteczne…

Ostrzeżcie swoich znajomych, gdyż po mimo kiepskiego przygotowania wiadomości docierają do nas sygnały o dziesiątkach zainfekowanych osób, które dały się nabrać na to, że Poczta Polska informuje ich o niedostarczonej przesyłce.

W tym kontekście polecamy komentarz Jezusa pod tym tekstem:

Wczoraj stałem na poczcie za (…), która dostała tego emaila. „Na trzech komputerach otwierałam maila, wyskakiwało że wirus i wyłączało komputer”, panna z okienka z 5 minut latała po obiekcie i szukała paczki o takim numerze :D

Tak duża skuteczność ataku zapewne wynika z faktu, iż część osób spodziewa się przesyłki i kiedy widzi wiadomość rzekomo od Poczty Polskie informującą o niedostarczeniu przesyłki, nawet jej nie czyta, tylko przeklina w myślach i odruchowo, rutynowo klika w wyróżnione “zobacz informacje”, wiedząc że to tam na pewno znajdują się informacje dot. niedoręczonej przesyłki.

Niech ten atak będzie też ostrzeżeniem dla tych, którzy nie robią kopii bezpieczeństwa swoich plików. Jeśli dacie się zainfekować (teraz lub kiedyś) albo po prostu “padnie Wam dysk” — stracicie dostęp do swoich danych. Zastanówcie się, czy jest czego żałować i wykonajcie kopię bezpieczeństwa swoich plików już teraz …albo — alternatywne podejście — połóżcie na swoim komputerze ten kamyczek.

PS. Jeśli otworzyliście załącznik, to w tym momencie najprawdopodobniej komputer dalej szyfruje kolejno Wasze pliki (co swoją drogą może powodować odczuwalny spadek wydajności pracy systemu). Jak najszybciej wyłączcie komputer i zróbcie kopię jeszcze niezaszyfrowanych plików, np. podpinając dysk pod inny komputer z Linuksem.


Przeczytaj także:



212 komentarzy

Dodaj komentarz
  1. Jeżeli komuś zacznie wolno działać nagle komputer, albo dysk..
    To wiedz że coś się dzieje..

    • Od wczoraj między godziną 12:00 a 14:00, lodówka w biurze gdzie pracuję przestała działać, co się dzieje?

    • Kopie bitcoiny ;)

    • 100/100

      :-D

    • Albo w końcu windows vista upgrade’uj ;)

    • @Piotrze, Ty kopiesz bitcoiny a kto weźmie odpowiedzialność za rozmrożoną zamrażarkę? ;)

    • Marcin firma udzielająca gwarancji na lodówkę?

    • @GwynBleidD problem w tym że nie. Lodówka, jak przystało na obowiązujące standardy, zepsuła się 3 miesiące po upływie gwarancji [potwierdzone info].

  2. Cóż… Jedynym problemem jest rozsądek człowieka – kto normalny otworzy link z wiadomości tak kiepsko przygotowanej? :D

    • Ktoś kto oczekuje na przesyłkę i nagle w skrzynce widzi list z Poczty Polskiej – on nie czyta treści, on rutynowo wie co robić / klika na przycisk po awizo bo z tytułu maila zrozumiał że jest jakiś problem z dostarczeniem przesyłki i wie że pod linkiem jest więcej informacji. Wysoka skuteczność pewnie dlatego, że wiele osób czeka na jakieś przesyłki/listy.

    • No właśnie to jest ciekawe, dziś dostałem tego maila a akurat dziś do mnie szła przesyłka. Ciekawe skąd mają takie informacje, bo byłby to dziwny zbieg okoliczności.

    • Znikąd. Ja dostałem na adres ashampoo@domena.catch-all.com – użyty pewnie jeden raz w ich (ashampoo) oprogramowaniu albo na ich stronie www.

    • Właśnie o to mi chodzi, Piotrze.
      Człowiekowi brakuje rozsądku aby przeczytać wiadomość albo chociaż przyjrzeć się nawet pierwszym zdaniom – cokolwiek – a później za swoją głupotę płaci ;)

      Czekasz na przesyłkę? Spoko! Ale przeczytaj tą cholerną wiadomość jeżeli już trafiła :C

    • Z tymi wiadomościami jest jak z UAC. Użytkownik klika nie czytając komunikatu.

  3. Czy na Ubuntu też szyfruje pliki? czy tylko na windows?

    • Nawet i lodówkę ci zaszyfruje

    • Odpowiedź brzmi .pif .paf.

  4. Kurcze, ale popatrzcie na tą treść, szkoda, że mało kto czyta e-maile… Potem płacz i zgrzytanie zębami

    • PEBKAC – typowy przypadek

  5. Wczoraj stałem na poczcie za idiotką, która dostała tego emaila. „Na trzech komputerach otwierałam maila, wyskakiwało że wirus i wyłączało komputer”, panna z okienka z 5 minut latała po obiekcie i szukała paczki o takim numerze :D

    • Miałem wczoraj identyczną sytuację. Tylko, że facet stał przed okienkiem a babki biegały i szukały paczki. Później zaczęły się gadki nt. oszustw, itd.
      …a kolejka rosła i rosła.

    • Bardzo śmieszne “:D” – ile nietechnicznych osób ze swojej rodziny już wyedukowałeś?

  6. M$ spieprzył ostatnio jakąś łątkę i mi dysk zamulał przez 10 minut każdego ranka po pierwszym uruchomieniu. Nie dało się nic robić na komputerze. Problemem był “Program poprawy jakości obsługi klienta firmy Microsoft.” i dodany jakiś skan w harmonogramie zadań, mimo, że miałem tego szpiega wyłączonego. Po skasowaniu zadania mulenie zmalało do 1,5 minuty. Tym razem winne okazały się aktualizacje automatyczne (po cholerę włączają to codziennie jak łatki i tak od święta wydają). Po wyłączeniu aktualizacji mulenie się skończyło.

    • Aktualizacji lepiej nie wyłączać – tylko przestawić na pobieranie i instalować (będzie żółta tarcza do kliknięcia) jak nie używasz kompa. Jak nie instalujesz to prosisz się o włamanie. Poza tym czas pobierania możesz ustawić ręcznie na konkretny dzień i godzinę. Jeśli chodzi o ten wirus, to czy ma ktoś hasła do odblokowania? Jeśli by je spisać w jednym miejscu – to kolejna osoba już by nie musiała płacić. Przynajmniej do czasu gdy nie wyjdą aktualizacje uwzględniające tego wirusa. Taki sposób na hakerow:)) Co do zamulania – to powywalaj wszystko, co się uruchamia z systemem (często da się tylko wyłączyć samo uruchamianie) a jest nie potrzebne. w razie czego uruchomisz ręcznie. Dobrym przykładem są komunikatory. Chcesz tylko wysłać maila, a to piszczy co chwilę, bo ktoś się pojawił. Pomijając już wolniejsze uruchamianie się systemu. Do harmonogramu zadań dodaje się też “powiadomienie o końcu wsparcia” (czy jakoś tak) i też nie wiem po co. Od razu to wywaliłem. To tylko część porad. Oczywiście ważniejsze dane zgrywasz na dysk wymienny (do kupienia w marketach) i wywalasz z komputera. Ogólnie mówiąc radykalne porządki poprawią szybkość pracy. I przede wszystkim nie klikać wszystkiego “jak leci”, bo potem są takie efekty.

  7. Ludzie są dziwni. Napisać “ja być z firma Cojetwojebedziemoje S.A. chcemy Ci przelać pieniondze, podaj dane dostępowe do twoja bankowość internetowa i wyślij tego maila dalej jeśli nie chcesz, żeby cie łupało w krzyżu”, a i tak by się dali nabrać.

    • Dziwni? Raczej głupi.

    • Dziwni? Raczej normalni. Wy też tak macie, tylko niekoniecznie w tej dziedzinie.

  8. Tez dostałem niedawno.

    Ale od razu wiedziałem że to oszustwo bo:

    – od kiedy Poczta informuje o nie dostarczeniu przesyłki?
    – mail wysłany z dziwnej domeny
    – taki bełkot (z translatora ;-) ) to nawet Poczta by nie wysłała.

    ;-)

    • “od kiedy Poczta informuje o nie dostarczeniu przesyłki?”
      Co najmniej od roku.

      Można dostawać SMS albo maila. Wysyłają gdy listonosz wróci z przesyłka na pocztę. Powiadomienie SMS działa to dobrze, maila nie testowałem.
      http://www.poczta-polska.pl/e-uslugi/einfo/awizo/

  9. Przysyłają też fałszywe informacje o blokadzie konta IPKO.

    • tylko w te maile z blokadą iPKO to już nikt nie klika. A poza tym PKO BP skutecznie blokuje adresy z których sa wysyłana

  10. Gdy już się mleko rozleje i trwa szyfrowanie, proponuję wyjąć wtyczkę z gniazdka i wyjąć baterię z laptopa, odłączyć dysk podpiąć po linuxa, uratować co się da, tylko dane żadnych exe’ków. Może dać się uratować więcej niż jeszcze nie zaszyfrowane pliki. Wirus w którejś wersji najpierw szyfrował co znalazł a potem kasował oryginały. W tej wersji można było odzyskać skasowane pliki przez un-delete lub podobny soft – stąd zalecenie wyłączenia kompa z prądu. Z naszych doświadczeń – (zaszyfrowane pliki w aptece, kilka komputerów spiętych LAN’em), wirus szyfruje tylko pliki małe i w kolejności od ostatnio modyfikowanych do starszych w ten sposób w krótkim czasie pochłania najbardziej cennych “zakładników”.

    • “Gdy się mleko rozleje” – myślisz, że to tak łatwo spostrzec??? Niedawno znajomy został zaatakowany przez to cholerstwo. Jak zacząłem dochodzić źródła infekcji to znalazłem maila. Opowiedzieli mi jak to działało. Znajoma akurat czekała na kilka przesyłek i kliknęła na link w mailu. Nic się nie wydarzyło – otworzyła się strona poczty polskiej z monitoringiem przesyłek! Ponieważ numer jej się nie wstawił więc go przekopiowała z maila. System odpowiedział, że taka przesyłka nie istnieje. Nic się nie działo więcej. Pliki były zaszyfrowane dopiero po trzech dniach po którymś włączeniu komputera!!! Jak uświadomić takich użytkowników? Co mogą w tym momencie zrobić skoro nic się nie dzieje? Komp się mulił jak co dzień. To nie jest takie proste jak się niektórym zdaje…

    • Dodatkowo – co ciekawsze nawet dropboxowy katalog przeleciał i zaszyfrował – skutkiem czego wszystkie pliki na innych kompach też są poszyfrowane. I żeby było śmieszniej (czarny humor) to sprawdzenie wersji plików na dropboxie pokazuje, że są w jedynej słusznej 1 wersji – nie ma innych :( ie da się więc w ten sposób odzyskać plików – chyba, że dropbox ma skasowane wersje gdzieś dostępne.

  11. W pracy gościu ściągnął sobie to dziadostwo, jest to Cryptolocker w wersji 3. W sieci są solucje jak to usunąć, ale bez możliwości deszyfrowania plików które zdążył zaszyfrować.

    Uważajcie, nie da się tego cofnąć, chyba że ktoś chce wydać 1000 zeta. To jest najnowsza wersja i nie działają na nią dostępne w sieci rozwiązania deszyfrujące. wg. znalezionych w sieci opisach, szyfrowane dwoma kluczami jednym na komputerze drugim na zainfekowanym serwerze www (najczęściej opartym na wordpress)

    Idzie po wszystkim, pendrive, dyski sieciowe, dyski lokalne, szyfruje co zdąży zanim nie wyłączycie komputera. To do czego ma dostęp po uprawnieniach użytkownika.

    Podstawa to wyłączenie kompa i najlepiej wyjąć dysk i usunąć pod drugim.

    Gdyby nie backup to mógłbym się pakować :) W necie są informacje, że po zapłaceniu odszyfrowuje poprawnie, i podobno się usuwa

    • Podstawa to nieużywanie Windowsa, szkoda, że to wciąż do ludzi nie dociera.

    • Kolego da się usunąć i odkodować pliki. Nie tyle odkodować do przywrócić ich do wersji np z wczoaj.
      Tu są szczegóły.
      https://www.youtube.com/watch?v=G2sUQFME0bE
      Już miałem formatować swoje dane ,ale dzięki temu odzyskałem wszystko.

  12. pytanie , kiedy inferkuje dysk w momencie otwarcia wiadmości/kliknięcia w załącznik.
    Jaeśli doszło do zainfekowania ja usunąć zagrozenie

  13. Nie tylko poczta :).
    Ostatnio spamują mnie maile z dawnej darmowego logmein.
    Co ciekawe prawie wszystkie linki w wiadomości odnoszą sie do strony właściwej, jednak faktura jest już na zupełnie innym serwerze…

    • Logmein to w ogóle dziwna firma. Miałem kiedyś wykupiony LMI Pro (płaciłem kartą) z którego potem zrezygnowałem. A tu ni z tego ni z owego po 2 latach kutafony z Logmein pobrały mi z tej karty kasę za nowy abonament. Sam produkt jest bardzo dobry, ale firma to złodzieje.

  14. Taaa.
    latwo mowic..
    a ja wpadlam i co teraz???
    Czasu nie cofne …komentarze o mojej inteligencji a raczej jej braku i nieswiadomosci zniose…
    pytanie.
    co teraz???
    Jakis pomysl aby odkodowac pliki?

  15. Z jakiego adresu przychodza te wiadomosci?

    • A jakie to ma znaczenie? :) Jak przyjdą z adresu otworz-mnie@nie.jestem.wirusem.pl albo awizo@poczta-polska.pl to otworzysz?

    • Nie, nie otworzyłbym. Chciałem sprawdzić czy ktoś u mnie dostał.

    • Te e-maile były wysyłane z wielu różnych adresów. Głównie z przejętych/dziurawych serwerów. Najlepiej szukać po treści/temacie.

  16. To nie jest, jak napisał Piotr, głupota; przyczyn należy szukać w sposobie działania naszego mózgu. Gdybyśmy nad wszystkim myśleli, na nic nie byłoby czasu. Stąd myślenie skrótowe, na bazie doświadczeń. Kojarzenie faktów bez weryfikacji. Te rzeczy odbywają się automatycznie u większości ludzi, i to tym bardziej, im bardziej mamy zajęty mózg przez ważne rzeczy. Wystarczy teraz tzw. “zły moment” i już. Nawet najmądrzejszym się zdarza. Wystarczy czekać na jakiś list, przesyłkę i prawdopodobieństwo wpadki prawie pewne.
    Dlatego: czytanie maili, klikanie podane w linki, operacje bankowe, zakupy w internecie, podpisywanie umów, itp należy robić ze SZCZEGÓLNĄ uwagą. ZAWSZE. Nigdy tego nie robić “a, bo mam wolne 5 minut”.

    • To jest głupota i to rzadka. Myślenie skrótowe polega na tym, że z zasady nie otwierasz żadnych załączników. Ktoś kto robi inaczej sam jest sobie winien. Można to porównać z otwarciem drzwi przestępcy i potem się tłumaczyć, och o tej porze zawsze wracały moje dzieci do domu, to otworzyłem.

  17. Złośliwiec “nie obsługuje” androida i MacOS`a.

  18. Czy ten załącznik odpali się skutecznie na koncie usera z domyślnymi ograniczeniami w XP Pro?

    • Vmware i ogień, chyba że stawiasz chinola, mogę zrobić za Ciebie :)

  19. Dopóki napastnik tylko szyfruje / usuwa / zamazuje dane – problem nie jest duży i można go rozwiązać samodzielnie (nie dotyczy osób które jeszcze nie zaczęły robić backupów). Gorzej jeśli pojawią się tego typu ataki wyciągające z komputerów poufne informacje (szczególnie dotyczy to firm) gdzie napastnik będzie żądał okupu za nieujawnienie tych danych.

  20. OS X wciąż bezpieczny. Polecam.

    • Pewnie dlatego, ze na OS Xa nawet wirusy sa platne.

  21. Szukaj w treści “Poczta Polska”

  22. A ja mam linuxa i mam to w d…, niech sie Windowsowcy mecza :D

    • A co, Linux nie obsługuje poczty? ;-)

    • @Iron
      > A ja mam linuxa i mam to w d…, niech sie Windowsowcy mecza :D

      Aleś wszystkim pokazał, rispekt!
      Idź na podwórko i pochwal się kolegom.

    • A ja mam windowsa i działają mi sterowniki do grafy :]

    • Właśnie. Do tego Windows obsługuje polskie fonty…

    • @djluke Linux też

  23. Otrzymałem taki e-mail w ubiegłym tygodniu. Otworzyłem, bo wysyłałem wcześniej paczkę w PP. Na co zwróciłem uwagę: PP nie prosi o przepisanie captcha i nie trzeba pobierać żadnego pliku typu .rar lub .exe, to po pierwsze. Po drugie, strona nieźle podrobiona, z podobnym adresem, oryginalny to poczta-polska,pl, a ten trefny to poczta_polska.pl.

  24. U mnie też się taki mail pojawił , jednak od razu coś mi się podejrzany wydawał ,a teraz właśnie trafiłem u was na tą informację , w żadne linki w tej wiadomości nie klikałem .A gdzie ten wirus jest dokładnie bo w wiadomości nie było żadnych załączników , czyżby w tych linkach w wiadomości

  25. Właśnie dostałem maila z odnośnikiem do złośliwego załącznika, ale tytuł to “Sprawdź stan przesyłki DHL”, kolorystyka żółta, mało informacji, i tekst:

    “Przesylka zwrotna do nadawcy

    Pokaż szczególowe informacje od odbiorcy”

    • Też dostałam takiego dzisiaj, więc i na maile od DHL uważać trzeba (choć te po samej treści widać że nie są prawdziwe)

  26. Dostałem dzisiaj taką wiadomość. Nie otwierałem bo choć czekam na przesyłkę z poczty polskiej po przeczytaniu takich kwiatków -“Jeżeli przesyłka nie dotrze w ciągu 7 dni roboczych Poczta Polska będzie miała prawo do ubiegania się koszty utrzymania przesyłka 50 zł za jeden dzień ” od razu wyrzuciłem to w cholerę z komputera. Niestety takie czasy trzeba być ostrożny na każdym kroku ;(

  27. Mam takie pytanie a jak sprawdzić czy pliki są zaszyfrowane przez ofiarę.

  28. 1. Czy kliknięcie w link ZOBACZ INFORMACJE to już zarażenie?
    2. Czy dopiero wtedy pojawia się propozycja ściągnięcia załącznika,
    i dopiero uruchomienie go zaraża?

  29. Hop, hop! ja bym bardzo prosiła redakcję Niebezpiecznika o sprostowanie tytułu mateirału. Te wiadomości nie są wysyłane przez Pocztę Polską – ktoś się pod firmę podszywa. Dzieki

    • Formalnie może i nie jednakże gdyby postmasterzy/prezesi z Poczty Polskiej raczyli wdrożyć chociażby SPF i DKIM a Wasi providerzy zechcieli łaskawie je respektować problemu nie byłoby (mail nie zostałby odebrany przez serwer pocztowy odbiorcy) tak więc pośrednio Poczta Polska jest za to odpowiedzialna tak jak odpowiedzialni (również pośrednio) są Wasi dostawcy poczty/postmasterzy.
      Nie bronię w żadnym razie roztargnienia/niewiedzy/głupoty użytkownika – po prostu taki mail nie powinien wcale dotrzeć do skrzynki odbiorcy.

  30. Nie tylko od Poczty Polskiej, ja przed chwilą dostałem coś podobnego od DHL.

  31. Czy wirus może zainfekować WP 8.1?

  32. chyba nie tylko z Poczty, DHL również:

    http://i.imgur.com/HUX2leD.png

  33. Nie tylko Od Poczty Polskie. Przed chwilą dostałem podejrzany mail od niby DHL, że jakaś przesyłka zwrotna, do nadawcy coś… Żadnej przesyłki nie oczekiwałem, ani nie wysyłałem. Na szczęście nie otwierałem żadnych załączników ani nie klikałem w żadne linki. Tak więc na maile od DHL także uważajcie.

  34. Od DHL też przychodzi g*wienko w postaci pliku ZIP do pobrania

    http://x3.cdn03.imgwykop.pl/c3201142/comment_eZRk6HqPTNV3Rjv3OqIWLAshO9gM7SGu,w400.jpg

  35. Tak przy okazji. Niektórzy piszą, że wirusy przychodzą z nieznanej domeny, a gdzieś pół roku temu sam kontaktowałem się z pocztą polską, bo właśnie z ich domeny (żadnej tam podrabianej) dostawałem te same maile. Oczywiscie dział obsługi klienta w Poczcie Polskiej twierdzi że taki problem to jakiś wymysł. Widzę że w dupie to mają kompletnie:
    Screenshoty maila wysłanego do Poczty Polskiej:
    http://oi57.tinypic.com/241uww1.jpg
    http://oi58.tinypic.com/3354fgj.jpg

    Prawdę mówiąc, dla mnie wygląda to jak prawdziwa wiadomość z Poczty Polskiej gdyby nie załączniki oraz fakt że wyjechałem z Polski 4 lata temu :D :D

    • Naglowki pokaz

    • Panie Piotrze, bardzo chętnie bym podrzucił, ale nie z wiadomości z 23 lipca 2014-ego roku.
      Nawet na wszelki wypadek sprawdziłem czy gdzieś się po archiwum nie wala, ale przykro mi. Ja zazwyczaj takie rzeczy to usuwam.

      Jedyne co znalazłem to odpowiedź od poczty polskiej:
      “Dzień dobry,
      uprzejmie informujemy, iż ktoś podszywający się pod Pocztę Polską rozsyła maile do klientów informując o konieczności odbioru przesyłki kurierskiej. Informacje te nie zostały nadane przez Pocztę Polską. Prosimy o zwrócenie szczególnej uwagi na numer przesyłki zawarty w mailach. Korespondencja od Poczty Polskiej zawiera numery przesyłek 13 znakowe lub 20 cyfrowe. Dodatkowo maile spoza sieci Poczty Polskiej nie zawierają informacji adresowych dotyczących placówki, w której należy odbierać przesyłkę. Nie zawierają także polskich znaków. Prosimy o uważne sprawdzenie oraz ignorowanie maili z błędnym numerem przesyłki i brakiem adresu placówki pocztowej, a także nieotwieranie załączników, które mogą zawierać oprogramowanie wirusowe. Poczta Polska podjęła odpowiednie działania wyjaśniające w tej sprawie.

      Powyższa informacja zamieszczona została na stronie internetowej Poczty Polskiej S.A. w zakładce
      e-monitoring.”

      Co ciekawe, kojarzę że specjalnie rozwinąłem informacje w polu “Więcej” i znalazłem ten sam adres nadawcy. Bez eksportowania do EML podejrzewam, że nie miałbym jak dojść czy ten sam adres był nadawcą

    • @edmun
      Chodzi o to, że fakt, że adres nadawcy jest podany poprawny, wcale nie oznacza, że skrzynka została zhackowana i to z adresu Poczty przychodzi mail (takie podszywanie się to tzw. spoofing). Dlatego Poczta o niczym nie wiedziała i uznała to za wymysł. :)
      Nagłówki wiadomości pokazują przez jakie serwery wiadomość przechodziła – pozwalają więc stwierdzić, czy przyszła ona z właściwego serwera, a jeśli nie, to skąd.

      Jakiś czas temu jakiś spambot namiętnie próbował mi wmówić, że mam konto na iTunesie, na którym wydaję setki (chodziło o to żebym kliknęła w link, bo coś jest nie tak). Zaczynał chyba od dość losowych adresów/domen, potem dał radę ogarnąć nazwę i podobną domenę, a ostatecznie udało mu się wysłać maila z niby domeny itunes/apple.
      Aż miałam ochotę odpisać, że gratuluję w końcu ogarnięcia ;), choć nawet idiota by w ten ostatni mail nie kliknął po tym, jak przez ostatnie 2 tygodnie otrzymał z 5 podobnych wiadomości z losowych adresów.

    • @edmun ma rację. W zeszłym roku na firmowe konta przychodziły mi maile ze sfałszowanego adresu Poczty Polskiej, po analizie nagłówków wynikało, że:
      – serwery PP miały sporą dziurę (cała ścieżka pokazywała ich oryginalne serwery), którą wykorzystał malware
      – ewentualnie cała ścieżka maila została dobrze sfałszowana.
      To nie tylko sam adres nadawcy był podstawiony. Nie była to jedna wiadomość, kilka w różnym czasie. Później to ustało, następnie malware był już słany z nie-Pocztowych adresów.

      Z przesyłkami Poczty jest sprawa banalna. Wklejamy nr paczki w śledzeniu, ma w sobie oczywiście jakąś sumę kontrolną, więc od razu widać wszystko jak na dłoni.
      Chyba że ktoś dopiero nam tę paczkę pakuje i już dostała numerek, ale nie wysłana do systemu. Wtedy możemy mieć wrażenie, że to fake ;-)

  36. Też taki miałem e-mail od Poczty Polskie tyle, że o ile faktycznie czekałem w tamtym czasie na przesyłkę to w tytule maila zrobiono ze mnie nadawcę co od razu powiedziało mi iż ten mail to c..j dupa i kamieni kupa.

  37. Ja dostałem pobrałem otworzyłem jednak w pore norton wykrył i usunął. Nic mi nie szyfruje sprawdziłe skanem i w cmd nic się nie dziej to chyba miałem farta jak myślicie może gdzieś siedzieć i się reaktywować?

  38. Pytanie sie już powyżej przewijało ale bez konkretnej odpowiedzi. W jaki sposób komputer jest infekowany? Dziura w przeglądarce która powoduje automatyczne pobranie i uruchomienie exeka po kliknięciu w link czy może trzeba go samemu uruchomić? Czy może jeszcze jakieś inne rozwiazanie?

    • Dziura, konkretnie to czarna dziura jest. A i owszem. I jest biologicznym łącznikiem pomiędzy klawiaturą a monitorem.

  39. Swoją drogą, dwa tygodnie wcześniej plaga takich samych e-maili zaatakowała firmy w Hiszpanii, tak samo cryptolocker i lokalna poczta.

  40. Sam dziś to dostałem i prawie dałem się złapać.
    Wstaje rano, zaspany, sprawdzam maile…
    I akurat fartem/niefartem czekam na pewną paczkę.
    Nawet pobrałem załącznik, otwieram 7zipem, patrze a tam w środku plik .exe .
    Oczywiście nie otworzyłem go i zapaliła się w główce lampka alarmowa.
    Ale było blisko…

  41. Ja też to dostałem… I czekam na przesyłkę… I trochę niedowidzę… Na szczęście wczoraj przesiadłem się z W7 na Linux Mint… Pobrałem wiadomość/załącznik bez jego otwierania i nic się nie dzieje. Linux nie przymula, podłączony pod USB i sformatowany na FAT dysk też jest dostępny. Jeśli ktoś nie otworzył załącznika to może spać spokojnie. Chyba…

  42. powinny o tym też napisać portale typu wp.pl czy onet.pl, żeby ludzie którzy nie zaglądają na niebezpiecznik, też wiedzieli…

    • Już opisują.

  43. “Kurier nie dostarczył przesyłkę do numeru zgłoszenia … ponieważ nikt w tym czasie”.

    Zabierając się za “biznes” w innym kraju zainwestuj w tłumacza.

  44. Tylko pod żadnym pozorem nie płaćcie okupu.

    Zapłacenie okupu nie daje gwarancji odzyskania danych.
    Daje za to gwarancje, że w przyszłości przestepcy będą próbować ponownie.

  45. Pytania.
    1. Czy mail sam w sobie zawiera szkodliwe oprogramowanie? maila dostałem, ale bez załącznika. Nic nie pobierałem, nigdzie nie wchodziłem, nic nie uruchamiałem.
    2. Czy samo przekierowanie na jakąs tam stronę jest niebezpieczne?
    3. Czy atak zadziała jezeli wejdziemy na stronę z firefoxa z noscriptem?

  46. Backupy i repliki są dla mięczaków. Prawdziwe hardkory szukają nieudokumentowanych ficzerów dd (“convert and copy”)

  47. Już opisują.

    • Sorry, do skasowania.

  48. Pod linkiem co właściwie się znajduje, jakiś exe czy co i wystarczy tylko kliknąć i już szyfrowanie w toku?

  49. Witam, może ktoś kto sie na tym trochę zna przeanalizuje jaka to dokładnie wersja i jaki jest procent wykrywalności przez AV z link do Virustotal.

    Wtedy będzie można podyskutować a nie tylko gdybać ;-)
    Pzdr

  50. Lokalizacja serwera z którego pobieramy plik załącznika to:
    adres IP: 41.161.30.221
    nazwa: poczta-sledzenie.com
    miasto: Saint Petersburg
    Na podstawie Geotool z Firefoksa.

  51. 1 tydzień temu otrzymałam takiego maila , a dziś podobnego z DHL z plikiem do pobrania .
    IP z jakiego nadany był mail to: 123.27.116.8 , mail: u049875@smtp.sil.at , temat :Śledzenie za przesylka DHL

  52. Czy robił ktoś przypadkiem analizę jak dochodzi do infekcji. Tzn jaką wersję Windowsa atakuje, czy potrzebuje uprawnień administratora, itd. Dostałem dzisiaj takiego maila i niestety żona go otworzyła, pobrała załącznik i pod przeglądarką uruchomiła. Na szczęście szybko wyłączyła komputer. Teraz skanuję w offline za pomocą Kaspersky Rescue Disk, póki co nic nie znalazł.
    Ja stwierdziłem, że dostałem całkiem “świeżego” śmiecia. rano sprawdzałem plik pod VM z linuksem na virus total to tylko jeden skaner miał wątpliwości i byłem pierwszym skanującym ten plik. Po kilku godzinach widziałem kolejne próby. Ostatnie moje sprawdzenie około 19 pokazywało że tylko 7 z 57 skanerów je wykrywa.

  53. skoro nic się do tej pory nie wydarzyło to znaczy że mogę korzystać z kont haseł itp ?

  54. Wczoraj rano tj. 12-05-2015 na virustotal 3 z 57 wykrowalo jako zagrozenie. 13-05-2015 o 00:27 już 20 z 57. Ale niektóre czołowe produkty antywirusowe nadal to radośnie akceptują :)

  55. Co do spam maili. Ostatnio zauważyłem, że jak się da właściwości danego mail’a spamowego to w nazwie maila zawsze przewija się słowo ‘root’, np root2ex@vep.pl (zmyślony na poczekaniu). Może jest jakiś plugin do outlook’a, który wyłapuje ten ciąg znaków przed małpa i z automatu usuwa taki mail ? Czy jest taka możliwość w tworzeniu nowych reguł?

    • .po jakiego ch*** jakies pluginy?!
      …wiekszosc programow do obslugi poczty np: the bat czy becky (jeden z najmniejszych programow) ma opcje “FILTRY” i sam robisz odpowiednia regule :-p

  56. mi dzis przyszło z DHL

    DHL Sendungsverfolgung
    Numer przesylki 3315338403033
    Produkt / serwis DHL RETOURE
    Status od wtorek, 12.05.2015 09:46:49 Przesylka zostala zaladowana na samochód do doreczenia.
    Doreczono do Przesylka zwrotna do nadawcy

    Sprawdź informacje od odbiorcy i tu zalacznik zip

  57. A do mnie wczoraj przyszedł mail zawierający informację, że niby są w nim zdjęcia “ze wczorajszego spotkania” Załącznik oczywiście zip, a w nim… exe.
    Pewnie liczą na ciekawość ludzi, bo niektórzy będą mieli ochotę obejrzeć zdjęcia nawet nie do nich zaadresowane.

  58. Tytuł “Fałszywe maile od Poczty Polskiej zaszyfrują Ci dysk” sugeruje, że e-maile owszem są fałszywe, ale jednak od Poczty Polskiej (która de facto nie miała nic z tym wspólnego), chyba bardziej precyzyjny byłby tytuł “Fałszywe maile podszywające się pod Pocztę Polskę zaszyfrują Ci dysk”.

  59. Z podobnymi atakami miałem doczynienia już miesiąc temu. Scenariusz jednak ataku wygladał tak: w piatek a póżniej w sobotę zadzwonił telefon stacjonarny i gostek starał sie ustalic mój adres zamieszkania (znał moje dane personalne), bo podobno paczka jest nieczytelnie zaadresowana. Pierwszy telefon olałem, drugi mnie juz trochę przestraszył – komu sie naraziłem i szuka mojego adresu ? Cel tych telefonów zrozumiałem po trzech dniach, otrzymując właśnie podobne maile jak te o których tutaj mowa. Zastanowło mnie kto poznał mój prywatny adres email oraz numer telefonu stacjonarnego (który używa tylko moja żona do kontaktu z Babcią). Taką parę informacji można tylko uzyskać u mojego operatora. Oczywiscie na reklamacje i sugestie że to od nich wypłyneły te dane stanowczo zaprzeczyli.

  60. Z “dhl-a” też przychodzą podobne

  61. A czy ktoś napisze co robić po rzekomej infekcji? Moja Siostra dostała tego maila i coś tam kliknęła ale w sumie to sama nie wie dokładnie co. Jak do tego podejść ? Jak sprawdzić bez włączania windowsa czy jakieś pliki są zaszyfrowane ?

  62. A może zamiast wyłączać, próbować zahibernować? Dopóki szyfruje, powinien mieć klucz zapisany w pamięci przecież.

    • Nie licz na to, że to klucz symetryczny.

    • To może być jakieś rozwiązanie, ale musiałby tym później zająć się niezły fachowiec. Koszt mógłby być wyższy od okupu :)
      Ja jednak bym stawiał, że klucz jest symetryczny. Algorytmy asymetryczne są za mało wydajne do masowego szyfrowania.

  63. Dostałem info, że okup jaki żądają to wstępnie 1200 zł a po około 3-4 dnia już 2400 zł

  64. U nas niestety “zalew” tej paskudy, zarówno w wersji PP jak i DHL, z tego co zauważyłem jest to TorrentLocker ale niestety poprawiony, jakiś czas temu była na to szczepionka i dało się odszyfrować pliki, niestety ktoś zrobił szczegółowy artykuł w sieci na temat zastosowania XOR w wirusie co umożliwiało złamanie szyfrowania, autor lockera ładnie podziękował za wskazówki i wydał uaktualnioną wersję. Niestety na ten moment nic poza usunięciem wirusa nie da się zrobić- usuwa Shadow Copy i nadpisuje stare pliki (photorec, R-studio, Recuva nic nie znajdują). Może ma ktoś inny pomysł jak wyciągnąć zaszyfrowane dane? Jak coś to dysponuję kilkumegowym plikiem w wersji przed i po szyfrowaniu.

    • Czy moglbys mi (lub moze ktos inny) udostepnic gdzies do pobrania tego cryptora? chce sie nim ‘pobawic’.

    • Mogę Ci zrobić fwd całego maila ;) na mój spam-mail też to przyszło.

  65. właśnie dostałam dziwnego e-maila rzekomo od firmy dhl o wysłaniu przesyłki. to prawdopodobnie to samo co poczta polska

  66. DHL również jest podrabiany

  67. podobne maile również od DHL,
    co ciekawe na nieużywaną wcale skrzynkę na o2.pl
    wychwycone do spamu przez gmail.

    http://www.img.pl/SMgh

  68. Jak dokładnie odbywa się proces aktywacji szyfrowania? Na pewno trzeba coś ściągnąć i odpalić, ale co to dokładnie są za pliki (ktoś już o to pytał) *.rar, *.exe, *.dll ?, są losowo generowane, czy stałe, jest jakaś reguła? Jeżeli używamy konta z maksymalnymi ograniczeniami, takimi, że system nie pozwala odpalać dowolnych exe to jest w miarę bezpiecznie? Czy ten CryptoLocker dodatkowo w jakiś sposób obchodzi zabezpieczenia ograniczeń systemowych?

    Mógłby ktoś to sprawdzić na Virtualnej Maszynie? Lub opisać dokładnie czy jest jakaś reguła tego szyfrowania?

  69. Chyba byłem jednym z pierwszych poddany próbie tego ataku, przesłałem też do redakcji niebezpiecznika ten email.

    W moim wypadku w pliku zip był kolejny zip a w nim exe. Co ciekawe jeżeli nie wypakujemy pliku bezpośrednio na dysk, raczej nic nie powinno się stać. W innym wypadku miałbym już zaszyfrowane wszystkie dyski.

    Chyba że coś innego zatrzymało ten program, tylko co?

    • Mógłbyś gdzieś wrzucić ten plik? Ja nie miałem tyle szczęścia, a interesuje mnie jego analiza.

    • …moze ten “specjalny kamien do kladzenia na komputer” o ktorym tyle pisano albo w czasie otwierania pliku miales na glosnikach Radio Maryja albo z tv rozchodzil sie rozaniec na tv Trwam?! :-p

    • Chcecie to mogę wam zapodać, choć z tego co widzę ja dostałem jakąś inną wersje tego emaila, gdzie trzeba było pobrać zip-a i odpalić exe. Później przyszła druga podobna wersja tego emaila, ale wtedy już bez zastanowienia wyje*%&em to w cholerę. Jeśli chodzi o komputer to jest to całkiem przyzwoita maszynka, więc obawiam się że samego zmulania bym nie odczuł. Druga kwestia ja ten email otrzymałem 27.04. czyli sporo czasu już minęło a z danymi wszystko OK. Trzecia rzecz, jeżeli to ch*^%$two potrzebuje choć chwilowego kontaktu z internetem musiałbym ręcznie zezwolić na to w firewallu, a nic podejrzanego nie widziałem. Sam antywirus (u mnie G-Data) też nic nie zauważył. Nie mam telewizora w pokoju, ale starsza sąsiadka z dołu zapewne Trwam miała odpalone ;) Może to wystarczy?

  70. Dołączam sie do pytania. Jak dochodzi do infekcji? Po kliknięciu w linku przeniosło mnie na Google. Nic sie nie ściągało, avast nie zareagował. Czy mogło dojść do infekcji? Póki co mogę otwierać wszystkie pliki.

    • Wszystko pewnie zależy od mutacji maila, który dostałeś. Mail dotyczący Poczty Polskiej który mnie dopadł przenosi na stronę na której trzeba wpisać captcha. Pobierany jest zip w nim plik o tej samej nazwie ale już exe. Wiem że były/są podatności zipa, dla których wystarczające było samo otwarcie pliku zip żeby odpowiedni kod się wykonał. W moim przypadku otwarcie było z poziomu przeglądarki – zip został otwarty, nie zapisany. Jestem po dwóch skanowaniach dysku za pomocą odpalonego z usb Kasperskiego (pierwsze z bazą z wczoraj z południa, drugie z 20.30). Nic nie znalazł, ale póki co Windowsa nie odważyłem się wystartować.

  71. Napisałam wczoraj maila do DHL z informacją ,że przychodzą fałszywe maile .
    Taką dostałam odpowiedź :
    Szanowna Pani,

    Bardzo dziękuję za nadesłaną wiadomość. W ostatnich dniach obserwujemy wzmożoną ilość takich działań.
    Informuję, że
    – ta wiadomość nie jest wysłana przez DHL – ktoś bezprawnie używa nazwy naszej firmy,
    – proszę nie klikać w linki w treści emaila, a w razie jeżeli się to zrobi to nie otwierać plików, które mogą zostać ściągnięte na komputer – grozi to uruchomieniem wirusa na komputerze,
    – radzę aby najlepiej skasować wiadomość ze swojej skrzynki,
    Zapewniam, że DHL podejmuje wszelkie dostępne działania aby powstrzymać rozsyłanie tych wiadomości i blokować adresy, z których ściągane są te niebezpieczne pliki, natomiast nie mamy możliwości bezpośredniego zatrzymania tych wiadomości, ponieważ nie pochodzą one z sieci DHL.
    Raz jeszcze dziękuję za informację i czas poświęcony na jej napisanie.

    Łączę wyrazy szacunku,
    Monika Waligóra
    Dyrektor ds. Komunikacji i PR

  72. Witam. Mnie napadł ten wirus w sobotę wszystko zaszyfrowalo, nie zależy mi na plikach akuarat tylko na komputerze, używam go do gier. Jak mam zrobić formata I to usunąć ? Kiedy botuje płytę z windowsem i nalezy wcisnąć klawisz klawiatra się blokuje nie reguje na klikniecia co zrobić ? Pomocy

    • Hej! niestety nie znam odp na Twoje pytanie, ale sam chciałem się dowiedzieć od kogoś kto został zainfekowany jak wygląda ten proces. Kliknąłem w link jednak nic się nie ściągnęło,tylko otworzyła się strona google. Czy trzeba ściągnąć jakiś plik rozpakować go itp czy dzieje się to w sposób niewidoczny?

    • UWAGA! TYPOWA TEORIA! POCZEKAĆ NA POTWIERDZENIE ODNOŚNIE SKUTECZNOŚCI! ;)

      Jeżeli czujesz się pewnie, to jeżeli nic już nie pomoże, spróbuj użyć programu MHDD. (czyszczenie całkowite).

      1. Stwórz boot CD/bootpendrive z win98 i programem mhdd na nim.
      2. Ustaw w BIOSIE żeby bootowało z pendrive’a
      3. Po zbootowaniu z pendrive’a powinno pojawić się legendarne C:\
      4. Teraz komendy:
      dir – pokaże Ci wszystkie katalogi i pliki na danym CD/pendrive’ie
      cd nazwafolderu – przechodzi do “nazwafolderu”
      mhdd.exe – startuje program MHDD

      5. Po zbootowaniu np. z pendrive’a, przejdź do folderu w którym jest MHDD (np. na pendrivie masz folder MHDD a w nim pliki i foldery z programem, w tym mhdd.exe)
      Jeżeli masz tak ustawione jak w “nawiasie” powyżej to wklepujesz:
      cd mhdd (przechodzi do folderu MHDD na pendrive’ie)
      mhdd.exe (uruchamia program MHDD)

      Po załadowaniu programu wyświetli Ci się lista urządzeń oraz pytanie, które urządzenie chcesz “użyć”. Jeżeli taka lista nie wyskoczy, kliknij SHIFT+F3.
      Na liście powinieneś mieć swój dysk (skrócone nazwy modeli – pod takimi samymi nazwami zwykle pokazują się w biosie)

      Wybierasz na klawiaturze cyferkę z listy która oznacza Twój dysk i klikasz ENTER

      Po załadowaniu danego dysku możesz jeszcze sprawdzić czy załadowałeś poprawne urządzenie wprowadzając komendę “eid”.

      Teraz najważniejsze. W danym programie można zarówno przeskanować dysk w poszukiwaniu błędów (delay, bad sector, itp, itd), jak i “wyzerować” dysk za pomocą komendy “erase” (nadpisywanie sektorów przez 0 lub 1).

      Jak używać komendy erase? Po prostu wpisać “erase” i zatwierdzić “y” PO WŁADOWANIU POPRAWNEGO URZĄDZENIA Z LISTY!

      Po wykonaniu “erase” mapujemy dysk (nie wiem czy na 100% potrzebne).

      Jak mapować dysk?
      1. Bootujemy, włączamy MHDD, wybieramy POPRAWNE URZĄDZENIE (dysk) i klikamy F4, włączamy “disc mapping” na “ON” i klikamy ponownie F4.

      Po całym procesie, powinniśmy mieć czysty, sprawny dysk.

      Niech się ktoś mądrzejszy wypowie czy wszystko jest poprawnie napisane. Dawno się MHDD bawiłem, a piszę też to kompletnie z głowy.

      Pozdrawiam!

      UWAGA! TYPOWA TEORIA! POCZEKAĆ NA POTWIERDZENIE ODNOŚNIE SKUTECZNOŚCI! ;)

      P.S. Na necie macie dużo tutoriali jak stworzyć bootowalny pendrive z MHDD.

    • ..jest bez liku programow do wypalenia na cd czy do zrobienia bootujacego sie pena z srodowiskiem graficznym gdzie przy pomocy myszy kilkoma klikknieciami wywalasz caly dysk w kosmos i robisz sobie nowa czysta partycje np: minitool partition wizzard :-p

    • @Krzysztof – według opowieści znajomych parę dni trwało zanim się wirus aktywował – prawdopodobnie szyfrował wtedy pliki bo mają ich całkiem sporo. Być może w trakcie szyfrowania udostępniał te pliki odszyfrowując je w locie – komp był dość wolny więc nie wierzę, że szyfrowanie wszystkich plików zajęło ułamki sekund – mają ich naprawdę sporo. Dopiero po trzech dniach po uruchomieniu nagle okazało się, że mają wszystkie pliki z rozszerzeniem *.encrypted no i pliki się nie otwierają…

    • @odbojnik, na pewno, podałem tylko sposób który ja znam, a wydawał mi się najprostszy i najpewniejszy :D pozdrawiam!

  73. Też złapałem ten syf ,ale udało się wszystko odzyskać.
    Użyłem tego poradnika:
    http://malwarefixes….l0cker-malware/ tyle że bez pt 3 . Link nie jest aktywny.
    Potem postępowałem wg filmiku stąd:

    https://www.youtube….h?v=G2sUQFME0bE

    tyle że rejestr po przeskanowaniu poprzednimi programami u mnie był już czysty pozostało odkodować pliki, a raczej przywrócić je do stanu sprzed wczoraj.

    Powodzenia!

  74. Droga Redakcjo,
    Właśnie przed domem odwiedził mnie “listonosz” z poczty, po przeczytaniu tego artykułu ze względów bezpieczeństwa nie otworzyłem temu Panu.
    Wrzucił do skrzynki papier pewnie “awizo” , proszę napiszcie jak uchronić się przed zaszyfrowaniem książek i zdjęć w domu. Czy bezpiecznie będzie otworzyć skrzynkę i przeczytać załącznik w rękawiczkach i masce na ustach?

    ps. Dziś otrzymałem 2 maile z informacją o tym zagrożeniu od userów -łańcuszek działa! zwłaszcza ,że załączony jest .jpg i pewnie każdy go otwiera :)))

  75. Do mnie też wczoraj przyszło z DHL :). Jakiś chorwacki adres e-mail.
    Akurat oczekuję na paczkę z DHL ale nie otworzyłem tego na komputerze bo już grzałem tyłek w łóżku.
    Android ściągnął mi to na telefon ale jak ktoś wcześniej wspominał na androida to nie działa.

    We wiadomości nie było załączników tylko odnośnik w treści e-mail, którego kliknięcie powodowało ściągniecie pliku “costamcostam.pdf.zip”.

    Kilku znajomych również dostało e-mail z DHL ale głosem rozsądku nie otwierali ściągniętego “przez przypadek” pliku z archiwum.

  76. ja będę próbował innych sposób uruchomienie windowsa, a jak nie dam rady to sproboje sposobu kolegi wyżej bo nie wydaję się trudny do wykonania, nic innego mi chyba że zostanie :-) a jeszcze mam pytanie do prefera jak usune pliki z dysku tym programem MHDD to bios zostanie bez zmian na dysku ?

    • MHDD ma wpływ tylko na dysk :) BIOS to oddzielna historia.

      Pozdrawiam

    • Swoja drogą “ciekawostka”. BIOS’u nie ma na dysku twardym. Jest “zainstalowany” na płycie głównej ;) Przed rozpoczęciem zabaw z MHDD poczytaj parę poradników odnośnie obchodzenia się z nim, nie jest trudny do ogarnięcia(www.google.pl – > “obsługa MHDD”). Tak, jest możliwość uszkodzenia dysku poprzez nieumiejętne posługiwanie się. (przez użyciem skonsultuj się z lekarzem lub farmaceutą :D) Ewentualnie tak jak radził ktoś inny są podobno programy z interfejsem graficznym umożliwiające łatwe zerowanie dysku, ale musiałbyś sam je poszukać albo pytać Pana wyżej, nie używałem ich :P

    • Masakra. Nie spodziewałbym się, że ludzie z taką wiedzą czytają niebezpiecznik.pl

  77. Cześć, dzisiaj również dostałem maila od DHL – niefart chciał, że akurat czekałem na paczkę i kliknąłem w link… Pojawiło mi się okienko o tym, czy chcę pobrać plik (bodajże .zip lub .rar), od razu zapaliła mi się czerwona lampka i je wyłączyłem. Chciałbym dowiedzieć się, czy w takiej sytuacji powinienem bać się, że coś zaczęło się już szyfrować? Czy mogę to w jakiś sposób sprawdzić? A może szyfrowanie rozpoczyna się dopiero po pobraniu pliku i jego otwarciu? Dziękuję i pozdrawiam!

  78. Odnośnie tego, że “ktoś czeka na przesyłkę”: numer RR…PL to wysyłka z Polski za granicę (o ile dobrze pamiętam), więc ciężko, żeby ktoś wysłał od nas jak z innego kraju. Oczywiście rozumiem, że nie wszyscy muszą o tym wiedzieć…

  79. Witam!
    Dlaczego ta strona może zrobić bez konsekwencji location.replace() i zmienić tym widziany adres? Firefox na linuxie.

  80. Własnie dostałam kolejnego maila z DHL
    172.17.20.117 , stcm@stcm-aph.com , Sledzenie trasy przesylki DHL
    Drugi dzień pod rząd !
    Zmienił się jedynie nadawca , treść maila wygląda identycznie .

  81. Witam. Czy proces infekcji rozpoczyna się wraz z kliknięciem na linku w mailu? czy po instalacji programu z zipa?

  82. Ponawiam pytanie poprzednika – czy mając oryginalną wersję i zaszyfrowaną jest się w stanie coś zrobić ?

    • Adam, jeśli jest to ransomware CTB , z którym miałem do czynienia w firmie w której teraz pracuje, to pliki zaszyfrowane są metodą ECC (elliptic curve crypthography), z którego korzysta między innymi Tor oraz Bitcoin. Metoda ta wykorzystuje klucz prywatny oraz publiczny ale odszyfrowanie klucza prywatnego nawet jeśli posiada się oryginalną wersję i zaszyfrowaną nie jest możliwa. Przy ECC wystarczy relatywnie krótki klucz (w porównaniu do np. do długości klucza RSA) aby czas niezbędny do zdekodowania wynosił kilkadziesiąt-kilkaset lat (zależnie od długości)

  83. Ja dostałam podobny e-mail, ale z DHL. Otworzyłam dzisiaj, bo wczoraj złożyłam zamówienie na produkt z internetu. Miałam go niby odebrać osobiście, ale pomyślałąm, że nie ogarnęli i prześlą mi go kurierem. Na szczęście załącznika nie otwierałam, dobrze, że spojrzałam kto jest nadawcą.

  84. Złapałem ten syf na wszystkich dyskach sieciowych w firmie.
    Zapłaciłem i po problemie. Pliku odszyfrowane. Tylko winowajcy nie znalazłem. Nikt się nie przyznał do kliknięcia w mail.

    • Potrzebuję więcej info, bardzo proszę o kontakt mailowy na priv. Pozdrawiam

  85. Niestety załapałem się na mail od DHL z własnej głupoty, jednakże podczas pobierania pliku wystąpił jakiś błąd i plik chyba się nie zapisał, w historii pobrań widniał plik z ścieżką i inf. błąd sieci

    poniżej ścieżka do prawdopodobnie zainfekowanego pliku gdyby ktoś chciał go sprawdzić

    http://lafinca.com.co/gL6OVWiy4oxPm/DHL_Report_9430595663.zip

    • Jeszcze raz ja.
      Do tych gości z Kolumbii nawet napisałem z ich formularza kontaktowego, podałem grzecznie linka do hiszpańskojęzycznej wersji virustotal.com. Jak narazie bez efektu.

      Sam otrzymałem dzisiaj maila o “przesyłce z DHL” – trochę dziwnie, bo z załączonym PDf z treścią maila i linkiem prowadzącym do jednego z plików hostowanych pod http://mmhseville.com/blogs/media/ (Uwaga! Trzy wersje tego samego cholerstwa, które virustotal narazie dość sceptycznie ocenia: 5/57).
      Ci tutaj nie mają formularza kontaktowego, wysłałem im info z guerillamail.com, czy coś to pomoże? Pewnie nie.

      Pzdr
      Michał

  86. Mnie widać nie lubią – ostatnio tylko kilka pustych maili z pdf/jpg ze zdjęciem treści czego to ja znowu nie wygrałem. I teraz problem natury prawnej/etycznej – czy dostawcy poczty powinni czesać nam po załącznikach graficznych by nie puszczać nam shitu? Pewnie i do tego dojdzie, oczywiście “dla naszego dobra”…

  87. Też dostałem z DHL. Czekałem na przesyłkę, ale pseudo-polski z Google translate skutecznie mnie odstraszył :) W takich chwilach cieszę się szczególnie, że nasz ojczysty jest taki “trudny”. Co by to było, gdyby językiem urzędowym był angielski?

  88. Witam,
    Czy jeśli kliknąłem w link z maila, ale nie ściągnąłem pliku *.zip to powinienem się obawiać czy raczej wszystko będzie w porządku? Z góry dzięki za odpowiedź!

  89. Z tego co widziałem u siebie dziś w skrzynce – mail z DHL o niedostarczonej przesyłce.
    Pierwsze co mi się rzuciło w oczy to czemu mail z @wp.pl.. skasowałem od razu – teraz wiem co mnie ominęło!

  90. Wiele pytań jak dochodzi do infekcji, wiele odpowiedzi dlatego nic nie otwierajcie.
    Mnie zastanawia jedno skąd pochodzi baza email? Czy zainfekowani/dostający są klientami wspomnianych firm?
    Mam email spamowo/testowy na który przychodzi masa pierdół, ale wiadomości nie otrzymałem.

    Uważam, że warto też informować mniej informatycznych znajomych!

  91. Wczoraj dostałem. Kliknąłem i dostałem info, że format nieobsługiwany przez aplikacje mobilne/macOS. I wszystko na ten temat. Wirus ciągnie do wirusa.

  92. ludzie, wy nie znacie czegos takiego jak “pokaz rozszerzenia plikow”?

  93. siema mam takie pytanie otworzyłem tego trefnego emila i przekierowało mnie na strone copy com ale juz tam nic nie naciskałem ani nie sciaglem pytanie czy tez jestem zainfekowany i czy jezeli nie ma zadnych objawow jak jeszcze mozna sprawdzic czy dysk jest zarazony???

  94. Właśnie odebrałem coś takiego. Załącznika brak, RR9214455875PL, 11.07.2015.
    Przyszło od e-tracking@chiefmailservice.com, reply-to reply@chiefmailservice.com, a adres w przycisku unsubscribe http://megabike-asia.com/system/logs/VaTY0Kjh7Uep2q6l.php?action=unsubscribe

    Pod tą domeną stoi sklep, wygląda w porządku, pewnie po prostu został przejęty.

  95. Do mnie też to przywędrowało na tlen.pl. Używam Outlooka 2007 do ściągania poczty, który wrzucił maila od razu do śmieci, konwertując na tekst z widocznymi nieaktywnymi linkami.

    http://i.imgur.com/xQ2Q2LA.png

    Może też bym padła ofiarą g***a gdybym otworzyła go w postaci html i odruchowo klikała. Nie zawsze ma się czas na zastanowienie, pewne czynności wykonuje się automatycznie, potem jest już za późno. Aż ciarki chodzą po plecach :/
    Pocztę ze spamem skasuję już na wszelki wypadek smartfonem, bo u mnie maile zostają na serwerach.
    Wygląda na to, że zjawisko się intensyfikuje i rozprzestrzenia coraz bardziej. Nie wróży to niczego dobrego, pozdrawiam.

  96. Jak ktoś chce się pobawić tym złośliwym oprogramowaniem, to może sobie je ściągnąć z tej strony: http://pocztapolska.biz/lqv8ac18.php?id=1234

  97. Ten link przekiwrowuje na fałszywą pocztę: http://religiousitemsonline.com/system/logs/8z4nOStC.php
    A tu można sobie podejrzeć kaalogi: http://religiousitemsonline.com/system/

  98. Mam pytanie ciekawi mnie czy wirus również będzie szyfrował pliki na dysku FAT32 ? Wie ktoś może coś na ten tamat może to byłoby rozwiązaniem ?

  99. Jak widać w południe 15.05 tylko 12 antywirusów wykrywało problem
    obecnie 2 razy więcej
    https://www.virustotal.com/pl/file/9d7dbb4de40e0ef8867500988653cea03fa89a0c62dcc56a3739327f8a24d504/analysis/1431696520/

  100. Rutynowym nawykiem powinno się stać, przed kliknięciem w link, sprawdzeniem ścieżki gdzie on prowadzi. Z reguły są to dziwaczne linki w przypadku “wirusów”. Ścieżka w większości programów pocztowych lub aplikacji wyświetlana jest po najechaniu na taki właśnie link. Widzimy i wtedy decydujemy czy kliknąć czy lepiej się wstrzymać.

  101. Założyłem nowy alias maila specjalnie do aukcji allegro w domenie 10g.pl (domena o2), było to ok 2 tyg temu. Aukcja miała zaledwie 20 wyświetleń i właśnie na ten alias przyszedł ten mail od “poczty polskiej”. A więc na 100% jednym ze źródeł jest bot parsujący aukcje allegro. Dodam, że mój adres mailowy nie był zakodowany, ani nie był obrazkiem. Odtąd będzie.

    • @Paweł
      Moim zdaniem świetną metodą przynęty jest także czynny udział w projekcie http://www.projecthoneypot.org/
      Słyszeliście o nim?

  102. Niesty otworzylem link… i mam wirusa, zakodowane pliki. Uruchomilem avasta w boot’cie ale nic sie nie zmenilo. Plikow dalej nie mozna otworzyc.
    Rozszezenie dodane do plikow to: .encrypted, co znaczy zaszyfrowane.
    https://www.decryptcryptolocker.com/ nie dziala.
    Czy ktos wie jak to rozszyfrowac? Infekuje zdjecia, excel, dropbox, etc.

  103. Ludzie sobie sami winni, jak otwierają maile bez sprawdzania. Ja nawet maile z paczkomatów sprawdzam, czy przyszły z prawidłowego adresu…

  104. Witam
    Czy serwisy typu opendns https://www.opendns.com/ potrafia uchronić przed tym dziadostwem ? Chodzi mi o to, aby chronić mniej obeznanych uzytkowników. Ja mam zasade nie otwierania załączników od nieznanych ludzi i z dziwnych domen :D
    Ale ja coś wiem, inni wiedzą jeszcze mniej. Czy to uchroni dzici, starszych itp (mam na mysli opendns)

  105. A ja dodatkowo dostałem takiego e-maila z DHL choć paczki się nie spodziewam!

  106. Czy możliwym jest że numery przesyłek i adresy mailowe pochodzą bezpośrednio z serwerów poczty polskiej ? Dostałem informację że przychodzą maile z numerami przesyłek które fizycznie zostały już dostarczone do tego adresata. Może to być albo informacja wykradziona ze sklepu internetowego albo z poczty polskiej…

  107. u znajomych jedna partycja trup, ale druga szczęśliwie miała shadow copies…
    jednak niektore mechanizmy M$ mają sens ;)

  108. Ej, niebezpieczniki, jak wrzucacie reklamowe obrazki w tekst, to użyjcie marginesu wokół nich. Z chęcią bym takich nieupierdliwych rzeczy nie wyrzucał, ale jak litera zlewa się z reklamą to wkurza i prosi się o wypieprzenie.

    • Blokujesz adsensa – i pewnie z divem, w którym jest także ten obrazek ;)

    • Jeżeli div byłby blokowany – to również obrazek BĘDĄCY w nim by się nie wyświetlał. Oj, niebezpieczniki. Podstawy HTMLa.

  109. Ja od kilku dni dostaje maila z DHL`a:
    Obecny stan przesylki DHL
    Od: “DHL Logistik-Spezialist”

    DHL Sendungsverfolgung
    Numer przesylki 2482521266024825
    Produkt / serwis DHL RETOURE
    Status od poniedziałek, 18.05.2015 06:53:29 Przesylka zostala zaladowana na samochód do doreczenia.
    Doreczono do Przesylka zwrotna do nadawcy

    Wyswietl szczególowe informacje od odbiorcy

    w mailu link do załacznika spakowanego, a w środku plik exe :)

    • Do nas też kilka takich maili przyszło. W środku był załącznik, wyglądał jak archiwum, ale po otwarciu go uruchamiał wyświetlał jakąś stronę, która wyglądała na dhl i uruchamiał też jakiś inny plik wykonywalny, który był blokowany przez Norton Security. Niestety nie zdążyłem się przyjrzeć mailom ani załącznikom, bo współpracownik je usunął jak poparzony… Wiem tylko tyle, że w polu nadawcy widniał zawsze mail jakiejś istniejącej firmy… Nie wiadomo czy to przypadkowy mail pochodzący z “łapanki” czy raczej został wysłany z zainfekowanego kompa, w którym owy mail był skonfigurowany w programie pocztowym. Stawiam na to drugie.

  110. Pewien badacz z kręgu portalu BleepingComputer (www.bleepingcomputer.com) opublikował zbiór narzędzi dla administratorów i ofiar szkodników typu ransomware (CryptoLocker & Co.).
    Doradza on ofiarom nie płacenie lecz dokładną dokumentację rodzaju szkodnika. Znajomość dokładnej wersji szkodnika szyfrującego dane jest ważna, gdyż użycie nieodpowiedniego narzędzia do odzyskania zaszyfrowanych plików może doprowadzić do ich bezpowrtonego zniszczenia.
    Zebrane narzędzia oraz opisy dostępne są pod adresem:
    https://bitbucket.org/jadacyrus/ransomwareremovalkit/overview

  111. Ja się uwolniłam od tych maili :P
    Na poczcie o2.pl wpisałam do blokady maile z nazwą DHL w tytule wiadomości .
    Jak na razie działa znakomicie .. W ostatnich dniach dostawałam 4 maile dziennie :/ Było dość wkurzające ..
    Współczuję tym co takiego maila otworzyli ..

  112. Dziś zaczęły przychodzić podobne maile z informacją o śledzeniu przesyłki z DHL.
    Mechanizm identyczny…

  113. heh ja mam gorsz problem , doszedl mail z dhl i ktos z pracy go otworzyl…niestety nic nie zaszyfrowalo natomiast jak glupie zaczelo słać tysiac maili pod jakies adresy…z mojej poczty i tu pies pogrzebany. zmiana hasla na zimbrze powoduje ze te “gowno” probuje sie logowac zzapamietanego hasla i po 5 krotnym zlym wpisaniu hasla zimbra blokuje dostep do poczty…MA ktos pomysl jak to rozszyfrowac ? ? ?

  114. Sprawdzić w logach Zimbry z jakiego IP są złe logowania, przeczytać komputer avg

  115. dzisiaj takie maile zaczely sie pojawiac z dhl. niestety zanim porobilem screeny informatyk w mojej firmie pokasowal wszystko

  116. u mnie to wysyla setki maili…i przychodza zwrotki….wyglada to tak :D

    [IMG]http://i58.tinypic.com/mv3eq1.jpg[/IMG]

  117. otworzyłam taką wiadomość, nic później z tym nie zrobiłam, jak sprawdzić jakie szkody na kompie wyrządziła wiadomość?

  118. Witam,

    otrzymałem takiego e-maila, ale kilka dni wcześniej czytałem wasz albo konkurencji artykuł o tych mailach, więc wiedziałem, że najlepiej od razu go skasować i nigdzie nie klikać. Dzień później w trakcie używania komputera padł dysk (sprawdziłem, że to na pewno dysk). Po prostu zrestartował się i od tego momentu restartuje się zawsze w momencie, gdy ma wejść system Windows. Na awaryjnym dzieje się to także. Nie wiem czemu padła też klawiatura. Podłączyłem inną i było OK. Czy to może mieć związek z tym ramsonware? Nie otrzymałem żadnego komunikatu i wygląda raczej na problem sprzętowy, ale..

  119. Hej. Dużo postów o samym ataku wirusa A zero konkretów jak poradzić sobie z zaszyfrowanymi plikami. Podobno KASPERSKY ma klucz deszufrujacy najnowsza wersję cryptolockera. Czy ktoś o tym słyszał. Moje zaszyfrowane pliki zupdatowane na dysku czekają na rozwiązanie. Any help?
    Ave

  120. no i zdazylo sie wczoraj mojej zonie na domowym kompie (mail na wp.pl) .. wszystkie zdjecia i dokumenty (prawie, bo przez godzine byl tylko wlaczony komp) zaenkryptowalo.. poszperalem w necie ile sie dalo i niestety mam najnowsza wersje (mail niby od poczty polskiej) – usunac sie dalo, ale jesli chodzi o odzyskanie danych to slabo – wczesniejsze wersje mozna bylo potraktowa TorrentUnlocker’em z forum http://www.bleepingcomputer.com/forums |z tematu torrentlocker-ransomware-cracked-and-decrypter-has-been-made – u mnie zadzialalo tylko dla 2 roznych zipow – dla jpg’ow niestety juz nie (dziwne to troche).
    nie dziala tez odzyskanie z wczesniejszej (shadow copy) wersji bo wirus je usuwa.. zostaje tylko backup jak ktos ma..
    Kaspersky ma jakis sposob ale dla mojego numerku nie dziala.. https://noransom.kaspersky.com/
    Eset online scanner wykrywa trojana: Win32/Filecoder.DI

    Jak ktos cos jeszcze znalazl to prosze o info..

  121. […] na swoim komputerze “fakturę”, “wezwanie do zapłaty” albo “potwierdzenie odbioru listu poleconego“. Tego typu fałszywe maile ostatnimi czasy zawierają zainfekowane załączniki, które […]

  122. Dziś miałem telefon od kuzynki że dostała coś od FedEx’a. W środku link, na szczęście nie kliknęła. Wzór ten sam – numer przesyłki, nie doręczona, trzeba kliknąć wygenerować jakiś PIN i komuś tam go przekazać do weryfikacji (ciekawe), oczywiście mail po polsku.

  123. co robic dostalm i klikłam w link

  124. Kurcze wszystkie poradniki sieciowe wskazują na stronę decryptolocker, która ma wyłączoną funkcjonalność i nie da się z niej korzystać. Jest jakiś sposób na odszyfrowanie plików ??? Oprócz okupu oczywiście :-)

  125. Mogę podjąć się zdekodowania plików ale nic nie obiecuję – jak ktoś chce to potrzebuję próbkę

    • @ Marcin podaj namiary mam ponad 17 tys. próbek :-) albo napiisz do mnie m_ligocki małpa czyli @t serwer taki wp. pl .
      Pzdr

  126. bwalegro małpa gmailcom

  127. Marcin, jeżeli można, ja również pozwolę sobie podesłać plik – próbkę. Maila od “poczty” dostałem wczoraj, otworzyłem … i nagle 700 plików na firmowym laptopie ma rozszerzenie “encrypted” :/

  128. ponowna fala fałszywek

  129. Dzisiaj dostałem maila o podobnej treści, z adresu @poczta-riv.com.
    Widać, że coroczny sezon łowów naiwniaków ruszył. Wstępnie sprawdzałem skąd ten mail pochodzi – ru. Nie sprawdzałem co jest w załączniku.

  130. Witam,

    Dzisiaj mojej zonie przyszla wiadomosc o rzekomej Poczty Polskiej i niesteyty zainfekowala kompa i niemal wszystkie pliki zaszyfrowane. Czy ktos juz znalazl sposob na odszyfrowanie?

    Pozdrawiam.

  131. Ja niestety otworzyłam to dziadostwo czy mozna sprawdzić czy ten plik wykrada dane czy szyfruje?
    Czy wystarczy przeinstalowanie systemu>

  132. W jaki sposób żądają okupu? Przez e-mail?

  133. Większość wpisów jest z 2015r. czy ktoś wie jakie zniszczenia wywołuje plik tegoroczny z poczty polskiej>

  134. Uwaga ,nowa fala tego dziadostwa na mailu. Akurat tak się złożyło że czekam na paczkę z poczty polskiej. Wchodzę dziś na maila i widzę jest ! Ja głupi ,zmęczony po pracy wlazłem w mail i kliknąłem w odnośnik w mailu. I wtedy zobaczyłem kod captcha do wpisania i wtedy zapaliła mi się czerwona lampka! sprawdzam adres nadania i rzeczywiście jakiś dziwny. Mail od razu do kosza i usuwamy. Mam nadzieję że nie złapałem dziada,wszak żadnego załącznika nie ściągałem i nie otwierałem. A miałem już wcześniej klika takich meili. Tyle że albo przychodziły z banku w którym nie mam konta ani nie oczekiwałem na przesyłkę więc od razu usuwałem węsząc podstęp Teraz trafili w 10.

  135. Taka sama sytuacja. Czekam na przesyłkę i dostaję takiego maila. Maila otworzyłem przez telefon z Androidem, nie klikałem w żaden odnośnik i załącznik, więc mam nadzieję, że żadnego syfa nie złapałem. Z drugiej strony dziwi mnie postawa Poczty Polskiej… wielka bogata firma, w dobie globalizacji nie potrafi/ nie chce sobie poradzić z problemem bezprawnego używania jej loga. Chociaż, biorąc pod uwagę, że w nazwie ma Polska to już nic nie powinno dziwić…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: