Další vlna phishingu od České pošty s ransomware šifrujícím soubory

ransomware

Máme zde další vlnu phishingu šířeného pod hlavičkou České pošty.

Oproti předchozí vlně phishingu šířené pod hlavičkou České pošty, která decimovala českou kotlinu v létě 2013, kdy byla na různé adresy rozesílána falešná zpráva informující příjemce o nemožnosti doručení zásilky s tím, že bližší informace jsou uvedeny na odkazované adrese, není tentokrát cílem útočníka doručit na počítač příjemce bankovní malware, jehož cílem bylo vysátí peněz z účtu, nýbrž ransomware, který zašifruje soubory na disku a za jejich dešifrování pak požaduje zaplatit.

Pojďme se podívat na samotný e-mail. Jako adresa odesílatele je uvedena adresa, která v názvu obsahuje slovo post, česky pošta (support@cs-post.net, tracktrace@cs-post.net, cpost@cs-post.net, post@cs-post.net, zasilka@cs-post.net), takže je zde patrná určitá snaha vzbudit dojem, že e-mail byl opravdu odeslán z České pošty. Vlastní text e-mailu je pak psán lámanou češtinou a stejně jako v případě pohledávkového SPAMu vyhrožuje, jakýmsi penále za každý den ve výši 52,5 Kč.

Pokud se příjemce rozhodne odkaz hxxp://cs-post.net/service.php?id=xxxxxxxxx v e-mailu následovat, bude přesměrován na doménu hxxp://cs-posta24.org/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx, kde se nachází kopie stránky České pošty umožňující sledovat stav zásilky. Opět byla použita doména, která v sobě obsahuje slovo post, a tudíž by měla asi působit důvěryhodně. Všechny odkazy na této stránce pak vedou na skutečné stránky České pošty, takže útočníkovi stačilo vytvořit jen dokonalou kopii jedné stránky.

Pokud oběť opíše správně CAPTCHA kód (mimochodem je to pořád stejný kód 22558), tak jí bude umožněno si stáhnout zazipovaný soubor zásilka_xxxxxxxxxxx.zip, který v sobě obsahuje spustitelný soubor zásilka_xxxxxxxxxxx.exe, který v okamžiku, kdy dojde k jeho spuštění, si stáhne z internetu ransomware, který si vytvoří registrech v klíči RUN záznam, a zajistí si tak své spuštění po každém restartu počítače. Vlastní ransomware, který provádí šifrování má náhodný název a příponu exe.

Následně pak ransomware začne šifrovat soubory a vytvářet na disku soubory s jménem původního souboru a příponou .encrypted. Byť to ransomware tvrdí, tak se nejspíš nejedná o novou verzi CryptoLocker nebo CryptoWall a dokonce ani Critroni, byť s ním má společného to, že požaduje platbu v Bitcoinech. Má spíš blíže k ransomwaru CryptoDefense nebo TorrentLocker, takže pokud útočník nezměnil nějakým zásadním způsobem šifrování, tak je zde určitá šance data dešifrovat.

V každém případě je ale možné se pokusit k souborům dostat prostřednictvím obnovy záloh nebo stínových kopií, jak je uvedeno zde.

Doposud jsme zaznamenali tyto phishingové kampaně a použité e-mailové adresy:

  • První vlna – 08. 08. 2013, adresa: cpost@ceskaposta.net
  • Druhá vlna – 30. 08. 2013, adresa: cpost@ceska-posta.net.
  • Třetí vlna – 12. 09. 2013, adresa: noreply@ceska-posta.org
  • Čtvrtá vlna – 24. 09. 2013, adresa: noreply@ceskaposta.info
  • Pátá vlna – 02. 10. 2013, adresa: noreply@cpost.net
  • Šestá vlna – 17. 12 . 2013, adresa: info@czposta.eu
  • Sedmá vlna – 28. 01. 2014, adresa: info@czposta.info
  • Osmá vlna – 12. 02. 2014, adresa: info@csposta.com
  • Devátá vlna – 13. 11. 2014, adresa: support@cs-post.net, tracktrace@cs-post.net, cpost@cs-post.net, post@cs-post.net, zasilka@cs-post.net
  • Desátá vlna – 28. 11. 2014, adresa: cs-post24.com, cspost24.org, cs-post.info

Ukazuje se, že blokování těchto domén nemá příliš smysl, protože lze vymyslet nespočet variant, jak by mohlo vypadat doménové jméno, to zaregistrovat a na to pak uživatele směrovat.

Poznámka: Tento příspěvek je tzv. living post, takže může být průběžně aktualizován a může obsahovat i určité nepřesnosti.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page


K článku “Další vlna phishingu od České pošty s ransomware šifrujícím soubory” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: