8/5/2017
Od kilku dni na naszą redakcyjną skrzynkę spływają e-maile od osób czasem bardziej, czasem mniej związanych z bitcoinami. Wiadomość, którą te osoby dostają prawie zawsze jest taka sama:
From: Lynn Moses rnr1@tpg.com.au
Date: 2 May 2017 at 15:27
Subject: BTC-e vouchers for XXX
To: XXX@gmail.comHi XXX.
See the attached BTC-e vouchers.
Please use them within 5 days.
Password is uJ0VGIVNNz3
You have to paste it to be able to view the document.Best regards
Lynn Moses
Atakujący stosują też inną formę dla części wiadomości:
You need to activate them within 8 hours.
Password is PwUNph. You need to paste it to access the document.
Załącznik to zaszyfrowany dokument Worda. Po jego otworzeniu i podaniu hasła następuje prośba o uruchomienie makr:
Na tym etapie już każdy powienien wiedzieć, że to przekręt.
Czy ilość bitcoinow które znikną jest z góry ustalona czy while(1) I ile fabryka dała ?
Raczej “Twoje dokumenty są zaszyfrowane. Wyślij nam X BTC by mieć kod do odszyfrowania”.
Na nasze firmowe skrzynki spływa sporo tego typu dokumentów. Jedyną różnicą jest brak zaszyfrowania. Po otwarciu pliku z rozszerzeniem doc (nie docm) prosi o włączenie makr, a sam plik wyświetla grafikę “Ten plik został utworzony w starszej wersji pakietu Office. Włącz makra aby dostosować ustawienia pakietu do otwarcia pliku” czy jakoś tak. Później pobiera jakiś syf, który tworzy w katalogu użytkownika w TEMP osobny katalog (np. o nazwie 1), do którego przekierowuje wszystkie nowe pliki tymczasowe i przy odwiedzaniu stron, na których są formularze, zapisuje POST’a w pliku tekstowym w owym katalogu (uważajcie na poczta.wp.pl – oni wysyłają w POST hasło w cleartext…). Co jakiś czas później dane są wysyłane na jakiś zdalny, ruski serwer.
Dacie zalacznik?