CAR72.RU Авто Сайт Тюмень

Сегодня на рабочую почту получил письмо

Главному бухгалтеру
От кого: Шабанова У.В. <shabanova@proc-tmo.ru>
Кому: ..........@mail.ru
сегодня, 9:07 1 файл
Добрый день!

Прошу Вас ознакомиться с постановлением от 08.12.2014г. Документ - во вложении.

Шабанова Ульяна Викторовна, старший помощник прокурора Тюменской области.
тел. (3452) 50-61-18, 46-38-14


Во вложении файл "постановление.cpl"

Помощник такой есть, файл пытаюсь открыть - комп пишет, что хз что за файл, лучше не открывать....

WTF?!?!?

DENISON, ээээ такая же хрень а у меня ни чё антивирус не сказал...блин. вирус бы не хапануть

Тоже получил эту хню, айтишник сказал не в коем случае не открывать вирус страшный там гуляет...)))
Петиция по всем сотрудникам прошла по этой Ульяне

телефоны не бьются....да и прокуратура калининского.....живу в ленинском, ООО работает в центральном...
Жулики активировались? интересно что в файле?!?

такая же ерунда пришла сегодня

тоже пришло,

"Добрый день!

Прошу Вас ознакомиться с постановлением от 08.12.2014г. Документ - во вложении.

Шабанова Ульяна Викторовна, старший помощник прокурора Тюменской области.
тел. (3452) 50-61-18, 46-38-14"

файл открыли, антивирь ругнулся и удалил угрозу, но все равно как то страшновато...

Мне тоже пришло...

DENISON писал(а): интересно что в файле?!?

Лучше не знать
Давненько уже на рабочую электронку такое приходило, только было письмо типо от арбитражного суда. Вирус - повредил ВСЕ файлы pdf и excel, причем не только на самом компе, где открыли файл, но и на общем сервере Файлы не открывались и не удалялись. Веселуха была

del

один товарищ открыл, ничего не произошло, начал дозваниваться до прокуратуры по указанным телефонам, трубку никто не берет

DENISON писал(а):один товарищ открыл, ничего не произошло, начал дозваниваться до прокуратуры по указанным телефонам, трубку никто не берет

Как дети малые. В наш век развитого интернета.
Зайдите на официальный сайт Прокуратуры и ознакомьтесь с перечнем фамилий и должностей Тюменской районной и городской прокуратуры. Найдите хоть пару совпадений.

ну это уже всем давно ясно что развод, но что произойдет если открыть неясно, как действует этот вирус, интересно...

ну и тем более не будешь же каждый раз при получении письма идти на оф.сайт компании отправившей письмо и разбираться кто там работает какие телефоны.
обычно получают и открывают те люди, которые сразу же их открывают с дрожащими руками, "от прокуратуры же!!", не задумываясь правда-не правда, на то и расчет у мошенников

Лохотрон. Пришло многим клиентам. Внутри вложение типа CPL. Пытается установиться при запуске как компонент панели управления. Антивирусники молчат.

pesec писал(а):

DENISON писал(а):один товарищ открыл, ничего не произошло, начал дозваниваться до прокуратуры по указанным телефонам, трубку никто не берет

Как дети малые. В наш век развитого интернета.
Зайдите на официальный сайт Прокуратуры и ознакомьтесь с перечнем фамилий и должностей Тюменской районной и городской прокуратуры. Найдите хоть пару совпадений.

В том то все и дело что совпадения на оф.сайте прокуратуры ЕСТЬ!
Не бьются только немера телефонов и её якобы должность. В письме страший помощник, а на оф.сайте просто помощник прокурора.
Такая же хрень пришла!!! Попробовал позвонить по номерам в письме, тишина. Удалил.

Шабанова У. В. - помощник прокурора Калининского округа. Позвонил в приемную прокуратуры. Сказали, что никаких рассылок не делали, это идет спам от них. Попросили максимально всех предупреждать, что не открывали файл.

Тоже пришло сообщение с почты shabanova@proc-tmo.ru с таким текстом. Хорошо, что номер из сообщения загуглил и к вам попал на форум! Спасибо, люди добрые за подсказку!

Позвонил в прокуратуру. Получил ответ это спам не в коем случаи файл не открывать. Сегодня завтра прокуратура на своём официальном сайте размистит сообщение об этом. Летом у них уже такое было. Кстати официальный сайт без дефиса если что

Этот вирус шифрует данные на сетевых дисках .... если на компе нет сетевых дисков ... то нечего не делает ...

Пришло на корпоративную почту:

"Здравствуйте. Сегодня произошло много случаев получения письма от, якобы, прокурора Тюменской области Шабановой с неким постановлением в виде файла во вложении к письму.. В данном файле находится вирус, который портит офисные документы pdf, xls, doc
Ни в коем случае не открывайте вложение к письму если оно придет, а лучше просто удалите это письмо."

Надо бы вообще в шапке закрепить. Тема очень серьёзная, на моей памяти такое вообще в первый раз в нашем регионе. Работали профессионалы в своём деле. Лезут предположительно по базе данных е-майлов ДубльГИСа, но похоже что не только, поскольку кроме емайлов руководителей присутсвуют иногда и рядовые сотрудники. Специально, суки, зарегистрировали домен proc-tmo.ru (настоящий домен прокуратуры: proctmo.ru), предусмотрели автоматический переход с proc-tmo.ru на сайт proctmo.ru. Вирусня не определяется на сегодняшний день ни чем. Клиенты звонят, всё пытаются открыть, и не охотно верят, что это вирусня...

Коллеги, добрый день!
Сообщаем о целенаправленной вирусной атаке на ДО Региона. Методом соц. инженерии в Копанию отправляют письма от имени зам.прокурора Тюменской области, во вложении постановление с вирусом, файл с расширением *.cpl.
Антивирусы не отслеживают вирус, потому что на данный момент в антивирусных базах отсутствуют сигнатуры вируса. Письмо отправляется с недавно открытого домена shabanova@proc-tmo.ru, ни в коем случае нельзя открывать какие либо вложения и переходить по каким-либо ссылкам, от данных адресатов.
Все подозрительные сообщения прошу пересылать на адрес информационной безопасности.

Амакан,

Тоже пришло, архив открыл, файл *.cpl не запускал, кто спецы посмотрите что это, интересно ведь)

Serg_tm писал(а):Тоже пришло, архив открыл, файл *.cpl не запускал, кто спецы посмотрите что это, интересно ведь)

Троян. Шифрует Ваши данные.
Шифрует либо с целью порчи, либо порчи но с возможностью последующего восстановления отдельной программой которую нужно будет купить

KAV 6.0.4 Workstation вроде как заблокировал некий процесс, если сопоставить время по журналу со временем которое указал пользователь.
Cure It тоже что то нового понаходил.

Добавлено спустя 4 минуты 59 секунд:

pesec писал(а):Пришло на корпоративную почту:

"Здравствуйте. Сегодня произошло много случаев получения письма от, якобы, прокурора Тюменской области Шабановой с неким постановлением в виде файла во вложении к письму.. В данном файле находится вирус, который портит офисные документы pdf, xls, doc
Ни в коем случае не открывайте вложение к письму если оно придет, а лучше просто удалите это письмо."

Это я утром рассылал по своим клиентам Простите Вас не узнал можно в личку кто Вы. ради интереса?

у нас в конторе запускали этот cpl, avg его распознал как вирус и успешно убрал его в хранилище, по соответствующему запросу пользователя (вопрос был защитить или проигнорировать, выбрано было защитить).

это не шифратор, антивиры шифраторы не распознают как вирус, этот безобидный, ворует пароли с систаем webmoney и paypal. для банк-клиентов никакой угрозы не представляет т.к. для работы банк клиентов в большинстве случаев нужны физические ключи рутокен

цитата с вирусинфо "Trojan-Banker.Win32.Agent.jwm вредоносная программа, осуществляющая кражу паролей от платежных систем."

Ха-ха, мне тоже пришло
Но я сразу проверил сайт proc-tmo.ru.
Забил его в адресной строке, и тут идет редирект на официальный сайт proctmo.ru
Хм... Странно...
Тогда пробиваем сайт proc-tmo.ru в базе регистратора, и выясняем, что он зарегистрирован на ЧАСТНОЕ ЛИЦО 2014.09.02!!!
То есть всего 3 месяца назад.
Я думаю, что прокуратуре надо заняться этим вопросом и выловить владельца домена и наказать за такое.

Добавлено спустя 4 минуты 2 секунды:

Выделил в отдельную тему.

давно всем известно, что не открывайте архивы от не известных адресатов. кругом вирусы

Где то госпожа Шабанова перешла кому то дорогу, не с проста же ее ФИО попало.
Majesti©,

Я думаю, что прокуратуре надо заняться этим вопросом и выловить владельца домена и наказать за такое.

а это реально выловить? Просто я не компьютерный бох, как говорится-пользователь.

mrpriemshik, реально, конечно. "Отдел К" таким должен заниматься. Все данные должны быть у регистратора доменов.
Другое дело, что домен скорее всего зарегистрирован на подставное лицо или на какого-нить бомжа, так как получается, что он заранее регистрировался с таким похожим именем на сайт прокуратуры и заранее планировался использоваться в мошеннических схемах.

Старая мулька с запуском вирусов через панель управления. Анивирусниками редко ловятся, т.к. стандартный файл панели..

Инет пишет, что этот троян крадет пароли клиент-банков и т.п.