Если пристанет пристав
28 декабря 2018
Получив вот такое письмо, автор этого выпуска сперва озадачился и начал вспоминать, нет ли у него каких-либо долгов:
Но потом решил внимательно изучить сообщение.
Первое, на что следует обратить внимание, – это адрес отправителя. Домен указан верно, это действительно сайт Федеральной службы судебных приставов, а вот в название почтового аккаунта закралась ошибка. Скорее всего, отправители письма хотели написать no-reply@fssprus.ru (reply – «ответ» по-английски), такие ящики часто используются для рассылки автоматических уведомлений, но получилось no-replay@fssprus.ru (replay переводится как «переигровка» или «повтор», если речь идет о трансляции).
Откроем технический заголовок письма.
Ни намека на приставов! IP-адрес принадлежит гонконгскому провайдеру – как, собственно, и сайт netvigator.com. Отсюда вывод: даже если вы увидели в графе «Отправитель» знакомый адрес, это еще ничего не значит. Этому адресу доверять не стоит.
А теперь давайте посмотрим, куда ведет ссылка, которой нам предлагают воспользоваться, чтобы узнать подробности о задолженности. http://****espace.com/286899 — тут тоже нет ничего похожего на сайт федерального органа исполнительной власти.
При попытке перейти по ссылке из письма открывается диалоговое окно с предложением загрузить некий архив scan173.zip. Причем этот архив располагается отнюдь не на том сайте, на который мы перешли, а совсем на другом ресурсе… Теперь уже в зоне .RU.
Попытка загрузки архива прерывается антивирусом, обнаружившим внутри вредоносную программу. Так как мы делаем всё это на специально подготовленной виртуальной машине, продолжим эксперимент и отключим антивирус.
Не экспериментируйте с подобными файлами на своем компьютере! Все описываемые действия проводятся в специально созданной закрытой виртуальной среде.
В архиве – еще один архив, а в нем – исполняемый .JS файл. Загружаем его в облачный анализатор Dr.Web vxCube и видим следующую картину:
Похоже, находящийся в архиве JavaScript является загрузчиком вредоносной программы.
В том, что запуск этого скрипта не принесет ничего хорошего, мы не сомневались с самого начала, так что давайте оставим его и повнимательнее изучим схему распространения.
Архив загрузился на компьютер с интернет-сайта ******technology.ru. Это достаточно любопытный ресурс. На главной странице написано, что он принадлежит профессору «Т». Беглый поиск в сети показывает, что такой профессор действительно существует и проживает на территории Казахстана.
Вот только непонятно, принадлежит ли ему этот сайт на самом деле. Весь ресурс состоит из одной страницы, а при попытке кликнуть по любой кнопке или ссылке происходит загрузка того самого архива с вредоносным содержимым. Судя по всему, единственное предназначение сайта – распространение вредоносных программ. При этом ресурс располагается на технических площадях одного из крупнейших российских провайдеров.
Но мы ведь помним, что ссылка из письма вела на другой, промежуточный ресурс. Давайте заглянем и туда. Сайт *****space.com – это… сайт французского сантехника… По крайней мере, такое впечатление он должен создавать.
Но если приглядеться, становится заметно, что на странице отсутствует какая бы то ни было контактная информация, а при попытке нажать на кнопку… загружается архив с вредоносным содержимым с того самого русскоязычного сайта.
Можно было бы предположить, что эти сайты взломаны, но что-то подсказывает, что они были целенаправленно созданы для распространения вредоносных программ, а все упомянутые на них лица, начиная с профессоров и заканчивая сантехниками, – лишь ширма.
Антивирусная правДА! рекомендует
Электронные рассылки часто используются для распространения вредоносных программ. Злоумышленники нередко прикрываются громкими именами и наименованиями государственных органов, чтобы убедить пользователя в необходимости совершения каких-либо действий.
Не торопитесь. Будьте спокойны и рассудительны. Изучите письмо, обращая внимание на правильность имеющихся в нем ссылок. Не скачивайте и не запускайте никакие файлы – вне зависимости от того, приложены ли они к письму или доступны по ссылкам.
Не отключайте антивирус и не забывайте устанавливать обновления.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
zitkss
20:34:52 2019-03-13
Как побороть ложные рассылки и фиктивные штрафы???
Никак. Нужно учиться их фильтровать и выявлять. Быть более внимательными и грамотными. Повышать свою грамотность - это залог спокойной и безопасной жизни.
Любитель пляжного футбола
14:38:18 2019-01-13
Впрочем, есть у меня одно предположение, что это могла быть "месть" сайта одного пляжнофутбольного клуба, которому я насолил в мае (впрочем, сами виноваты и заслужили это), но, полагаю, навряд ли.
Ruslan
10:15:00 2019-01-10
razgen
12:23:54 2019-01-09
Первый выпуск 2019 года можно будет прочитать 14 января.
https://news.drweb.ru/show/?i=13027&c=5&lng=ru&p=0
Sasha50
06:21:42 2019-01-09
Мирzagit
14:08:44 2019-01-07
razgen
12:21:20 2019-01-05
eaglebuk
10:06:49 2019-01-05
artemisiya
00:16:38 2019-01-05
Пaвeл
19:46:22 2019-01-04
Пaвeл
22:12:58 2019-01-03
razgen
22:46:39 2019-01-02
Пaвeл
10:37:34 2019-01-02
ddmmyy
18:36:41 2019-01-01
Татьяна
08:54:40 2018-12-31
Будьте здоровы и счастливы! Успехов в Новом году!
Sasha50
03:27:24 2018-12-30
Sasha50
03:25:42 2018-12-30
I23
20:25:20 2018-12-29
Lenba
20:17:47 2018-12-29
Zserg
20:13:33 2018-12-29
Геральт
16:19:47 2018-12-29
OlegNight
12:35:27 2018-12-29
I46
10:49:38 2018-12-29
Попокатепетль
10:45:12 2018-12-29
Vlad
09:47:32 2018-12-29
так что что приставы сейчас что вирусописатели негодяи однозначные. тюрьма по обоим плачет.
Sasha50
09:34:06 2018-12-29
achemolganskiy
08:25:50 2018-12-29
Пaвeл
08:21:21 2018-12-29
Еще раз всех с наступающим Новым годом!
A1037
03:31:39 2018-12-29
Lia00
02:50:44 2018-12-29
razgen
02:03:15 2018-12-29
ну и естественно всех пользователей данного проекта с Новым годом!!!
Всем счастья, здоровья, всего наилучшего.
Будьте бдительны и рассудительны.
По незнакомым ссылкам не переходите.
Любитель пляжного футбола
23:47:21 2018-12-28
Любитель пляжного футбола
23:37:28 2018-12-28
Из французского я знаю только десяток-два слов, так что сегодня существенно пополнил свой словарный запас в процентном соотношении. :)
Не завидую тем, кто ещё на заре интернета придумал звучные названия для своих почтовых ящиков или выбрал простые, тогда ещё доступные названия, например, сочетание фамилии и имени. Бедняги, наверное, бомбят спамом. Для названия лучше придумать что-то заковыристое или оригинальное, чтоб никто не догадался. Я выбрал одно иностранное слово, относительно редко употребляемое, а почтовик российский, так что нашим спамерам и их зарубежным "коллегам" сложно на меня выйти. Догадываюсь, что у спамеров есть специальная программа, которая составляет возможные названия почтовых ящиков, комбинируя фамилии, имена, цифры и часто используемые слова. И эти "базы данных" кочуют где-то по закоулкам интернета от спамера к спамеру. Мне лишь однажды пришло на мой основной почтовый ящик спамерское письмо, причём на английском, с информацией о каком-то "выигрыше".
Понятно, если указывать почтовый ящик везде подряд, то у тебя больше шансов оказаться в базе данных спамеров (правда, что-то на мой специально созданный спам-ящик вообще спам не шлют)). Но даже если указывать адрес на надёжных и суперзащищённых сайтах, увы, всё равно никто не застрахован от того, что произойдёт утечка данных и какой-то инсайдер сольёт на сторону личные данные пользователей... :((( C'est la vie.
Любитель пляжного футбола
23:09:18 2018-12-28
Ну а антивирус, хоть бы какой, желательно установить. Для подстраховки. Не знаю, как действует защита Яндекса, но вирусы/троянцы всё же бывают разные, а некоторые могут и серьёзно навредить, прежче чем будут обнаружены, одни могут украсть пароли от интернет-банка, другие - безвозвратно зашифровать фотографии, документы и прочие файлы. Меня когда-то давно даже антивирус не спас, правда, бесплатный Avast, я просто зашёл на сайт, смотрю, что содержимое не соответствует поисковому запросу, никуда не нажимал и вышел со страницы спустя полминуты. Но успел словить баннер винлокер. Как догадываюсь, сработал вредоносный скрипт на сайте. Вот и аргумент в пользу отключения JavaScript в браузере. Потом какое-то время пользовался Avast'ом, но при этом проверял на сайте Dr.Web специальным сканером каждую ссылку, прежде чем по ней перейти, удобная вещь, заранее знаешь, что можешь безопасно открыть ссылку, что там нет вирусов, а потом и вовсе перешёл на Dr.Web, сначала установив его родителям, проблем с ним не было, затем установил и себе. По-моему, спокойствие и безопасность стоят денег, тем более антивирус тут можно приобрести со скидкой. Вам удачи!
Dvakota
21:50:56 2018-12-28
МЕДВЕДЬ
21:42:04 2018-12-28
orw_mikle
21:37:46 2018-12-28
kozinka.ru
21:05:35 2018-12-28
Пaвeл
20:58:40 2018-12-28
Неуёмный Обыватель
20:56:30 2018-12-28
anatol
20:40:26 2018-12-28
Шалтай Александр Болтай
20:37:59 2018-12-28
Шалтай Александр Болтай
20:35:22 2018-12-28
Поздравляю Всех с наступающими праздниками! С Новым годом!
DFKBLKL
20:09:58 2018-12-28
Статейка интересная -
Если я стану удивляться , то только добру ....
Дмитрий
19:55:10 2018-12-28
matt1954
19:26:41 2018-12-28
OlegNight
17:37:32 2018-12-28
Татьяна
16:34:01 2018-12-28
Toma
15:14:11 2018-12-28
Всех с Наступающим Новым годом!
Andromeda
14:48:43 2018-12-28