Вирус от прокуратуры shabanova@proc-tmo.ru,постановление.cpl

DENISON · Сообщение **DENISON** » 09 дек 2014, 09:12

Сегодня на рабочую почту получил письмо

Главному бухгалтеру
От кого: Шабанова У.В. <shabanova@proc-tmo.ru>
Кому: ..........@mail.ru
сегодня, 9:07 1 файл
Добрый день!

Прошу Вас ознакомиться с постановлением от 08.12.2014г. Документ - во вложении.

Шабанова Ульяна Викторовна, старший помощник прокурора Тюменской области.
тел. (3452) 50-61-18, 46-38-14

Во вложении файл "постановление.cpl"

Помощник такой есть, файл пытаюсь открыть - комп пишет, что хз что за файл, лучше не открывать....

WTF?!?!?

VLADi · Сообщение **VLADi** » 09 дек 2014, 09:18

DENISON, ээээ такая же хрень :evil:

а у меня ни чё антивирус не сказал...блин. вирус бы не хапануть :oops:

zahar_740 · Сообщение **zahar_740** » 09 дек 2014, 09:20

Тоже получил эту хню, айтишник сказал не в коем случае не открывать вирус страшный там гуляет...)))
Петиция по всем сотрудникам прошла по этой Ульяне

DENISON · Сообщение **DENISON** » 09 дек 2014, 09:21

телефоны не бьются....да и прокуратура калининского.....живу в ленинском, ООО работает в центральном...
Жулики активировались? интересно что в файле?!?

614668 · Сообщение **614668** » 09 дек 2014, 09:36

такая же ерунда пришла сегодня

makex · Сообщение **makex** » 09 дек 2014, 09:38

тоже пришло,

"Добрый день!

Прошу Вас ознакомиться с постановлением от 08.12.2014г. Документ - во вложении.

Шабанова Ульяна Викторовна, старший помощник прокурора Тюменской области.
тел. (3452) 50-61-18, 46-38-14"

файл открыли, антивирь ругнулся и удалил угрозу, но все равно как то страшновато...

Мимопроходила

Мне тоже пришло...

DENISON писал(а): интересно что в файле?!?

Лучше не знать

Давненько уже на рабочую электронку такое приходило, только было письмо типо от арбитражного суда. Вирус - повредил ВСЕ файлы pdf и excel, причем не только на самом компе, где открыли файл, но и на общем сервере :pipec:

Файлы не открывались и не удалялись. Веселуха была :cherep:

VLADi · Сообщение **VLADi** » 09 дек 2014, 10:05

DENISON · Сообщение **DENISON** » 09 дек 2014, 10:14

один товарищ открыл, ничего не произошло, начал дозваниваться до прокуратуры по указанным телефонам, трубку никто не берет :lol2:

pesec · Сообщение **pesec** » 09 дек 2014, 10:51

DENISON писал(а):один товарищ открыл, ничего не произошло, начал дозваниваться до прокуратуры по указанным телефонам, трубку никто не берет

Как дети малые. В наш век развитого интернета.
Зайдите на официальный сайт Прокуратуры и ознакомьтесь с перечнем фамилий и должностей Тюменской районной и городской прокуратуры. Найдите хоть пару совпадений.

makex · Сообщение **makex** » 09 дек 2014, 10:58

ну это уже всем давно ясно что развод, но что произойдет если открыть неясно, как действует этот вирус, интересно...

ну и тем более не будешь же каждый раз при получении письма идти на оф.сайт компании отправившей письмо и разбираться кто там работает какие телефоны.
обычно получают и открывают те люди, которые сразу же их открывают с дрожащими руками, "от прокуратуры же!!", не задумываясь правда-не правда, на то и расчет у мошенников

jakik · Сообщение **jakik** » 09 дек 2014, 11:01

Лохотрон. Пришло многим клиентам. Внутри вложение типа CPL. Пытается установиться при запуске как компонент панели управления. Антивирусники молчат.

GudkOFF · Сообщение **GudkOFF** » 09 дек 2014, 11:17

pesec писал(а):
DENISON писал(а):один товарищ открыл, ничего не произошло, начал дозваниваться до прокуратуры по указанным телефонам, трубку никто не берет

Как дети малые. В наш век развитого интернета.
Зайдите на официальный сайт Прокуратуры и ознакомьтесь с перечнем фамилий и должностей Тюменской районной и городской прокуратуры. Найдите хоть пару совпадений.

В том то все и дело что совпадения на оф.сайте прокуратуры ЕСТЬ!
Не бьются только немера телефонов и её якобы должность. В письме страший помощник, а на оф.сайте просто помощник прокурора.
Такая же хрень пришла!!! Попробовал позвонить по номерам в письме, тишина. Удалил.

kolianus · Сообщение **kolianus** » 09 дек 2014, 11:25

Шабанова У. В. - помощник прокурора Калининского округа. Позвонил в приемную прокуратуры. Сказали, что никаких рассылок не делали, это идет спам от них. Попросили максимально всех предупреждать, что не открывали файл.

jendoss · Сообщение **jendoss** » 09 дек 2014, 11:35

Тоже пришло сообщение с почты shabanova@proc-tmo.ru с таким текстом. Хорошо, что номер из сообщения загуглил и к вам попал на форум! Спасибо, люди добрые за подсказку!

CERATO · Сообщение **CERATO** » 09 дек 2014, 11:43

Позвонил в прокуратуру. Получил ответ это спам не в коем случаи файл не открывать. Сегодня завтра прокуратура на своём официальном сайте размистит сообщение об этом. Летом у них уже такое было. Кстати официальный сайт без дефиса если что

monk-2005 · Сообщение **monk-2005** » 09 дек 2014, 11:52

Этот вирус шифрует данные на сетевых дисках .... если на компе нет сетевых дисков ... то нечего не делает ...

pesec · Сообщение **pesec** » 09 дек 2014, 12:57

Пришло на корпоративную почту:

"Здравствуйте. Сегодня произошло много случаев получения письма от, якобы, прокурора Тюменской области Шабановой с неким постановлением в виде файла во вложении к письму.. В данном файле находится вирус, который портит офисные документы pdf, xls, doc
Ни в коем случае не открывайте вложение к письму если оно придет, а лучше просто удалите это письмо."

jakik · Сообщение **jakik** » 09 дек 2014, 13:36

Надо бы вообще в шапке закрепить. Тема очень серьёзная, на моей памяти такое вообще в первый раз в нашем регионе. Работали профессионалы в своём деле. Лезут предположительно по базе данных е-майлов ДубльГИСа, но похоже что не только, поскольку кроме емайлов руководителей присутсвуют иногда и рядовые сотрудники. Специально, суки, зарегистрировали домен proc-tmo.ru (настоящий домен прокуратуры: proctmo.ru), предусмотрели автоматический переход с proc-tmo.ru на сайт proctmo.ru. Вирусня не определяется на сегодняшний день ни чем. Клиенты звонят, всё пытаются открыть, и не охотно верят, что это вирусня...

Амакан

Коллеги, добрый день!
Сообщаем о целенаправленной вирусной атаке на ДО Региона. Методом соц. инженерии в Копанию отправляют письма от имени зам.прокурора Тюменской области, во вложении постановление с вирусом, файл с расширением *.cpl.
Антивирусы не отслеживают вирус, потому что на данный момент в антивирусных базах отсутствуют сигнатуры вируса. Письмо отправляется с недавно открытого домена shabanova@proc-tmo.ru, ни в коем случае нельзя открывать какие либо вложения и переходить по каким-либо ссылкам, от данных адресатов.
Все подозрительные сообщения прошу пересылать на адрес информационной безопасности.

jakik · Сообщение **jakik** » 09 дек 2014, 13:59

Амакан,

Скрытый текст:

Serg_tm · Сообщение **Serg_tm** » 09 дек 2014, 14:48

Тоже пришло, архив открыл, файл *.cpl не запускал, кто спецы посмотрите что это, интересно ведь)

rush · Сообщение **rush** » 09 дек 2014, 14:55

Serg_tm писал(а):Тоже пришло, архив открыл, файл *.cpl не запускал, кто спецы посмотрите что это, интересно ведь)

Троян. Шифрует Ваши данные.
Шифрует либо с целью порчи, либо порчи но с возможностью последующего восстановления отдельной программой которую нужно будет купить

KAV 6.0.4 Workstation вроде как заблокировал некий процесс, если сопоставить время по журналу со временем которое указал пользователь.
Cure It тоже что то нового понаходил.

Добавлено спустя 4 минуты 59 секунд:

pesec писал(а):Пришло на корпоративную почту:
"Здравствуйте. Сегодня произошло много случаев получения письма от, якобы, прокурора Тюменской области Шабановой с неким постановлением в виде файла во вложении к письму.. В данном файле находится вирус, который портит офисные документы pdf, xls, doc
Ни в коем случае не открывайте вложение к письму если оно придет, а лучше просто удалите это письмо."

Это я утром рассылал по своим клиентам

Простите Вас не узнал

можно в личку кто Вы. ради интереса?

makex · Сообщение **makex** » 09 дек 2014, 15:04

у нас в конторе запускали этот cpl, avg его распознал как вирус и успешно убрал его в хранилище, по соответствующему запросу пользователя (вопрос был защитить или проигнорировать, выбрано было защитить).

Scandal · Сообщение **Scandal** » 09 дек 2014, 15:13

это не шифратор, антивиры шифраторы не распознают как вирус, этот безобидный, ворует пароли с систаем webmoney и paypal. для банк-клиентов никакой угрозы не представляет т.к. для работы банк клиентов в большинстве случаев нужны физические ключи рутокен

цитата с вирусинфо "Trojan-Banker.Win32.Agent.jwm вредоносная программа, осуществляющая кражу паролей от платежных систем."

Сообщение **Majesti©** » 09 дек 2014, 15:21

Ха-ха, мне тоже пришло

Но я сразу проверил сайт proc-tmo.ru.
Забил его в адресной строке, и тут идет редирект на официальный сайт proctmo.ru
Хм... Странно...
Тогда пробиваем сайт proc-tmo.ru в базе регистратора, и выясняем, что он зарегистрирован на ЧАСТНОЕ ЛИЦО 2014.09.02!!!
То есть всего 3 месяца назад.
Я думаю, что прокуратуре надо заняться этим вопросом и выловить владельца домена и наказать за такое.

Добавлено спустя 4 минуты 2 секунды:

Выделил в отдельную тему.

Пешиход

давно всем известно, что не открывайте архивы от не известных адресатов. кругом вирусы

mrpriemshik · Сообщение **mrpriemshik** » 09 дек 2014, 15:38

Я думаю, что прокуратуре надо заняться этим вопросом и выловить владельца домена и наказать за такое.

а это реально выловить? Просто я не компьютерный бох, как говорится-пользователь.

Сообщение **Majesti©** » 09 дек 2014, 15:41

mrpriemshik, реально, конечно. "Отдел К" таким должен заниматься. Все данные должны быть у регистратора доменов.
Другое дело, что домен скорее всего зарегистрирован на подставное лицо или на какого-нить бомжа, так как получается, что он заранее регистрировался с таким похожим именем на сайт прокуратуры и заранее планировался использоваться в мошеннических схемах.

dino · Сообщение **dino** » 09 дек 2014, 15:43

Старая мулька с запуском вирусов через панель управления. Анивирусниками редко ловятся, т.к. стандартный файл панели..

Инет пишет, что этот троян крадет пароли клиент-банков и т.п.