VAŽNO: FINA e-mail ovrha
Danas je počeo kružiti e-mail s fina.online domene koji tvrdi da je na vašem računu pokrenuta ovrha i daje link na “.PDF” datoteku. Ta PDF/EXE datoteka je maliciozna te sadrži tzv. ransomware koji vam oduzima pristup od podataka dok ne uplatite neku svotu — u ovom slučaju 2000 EUR te se svakim danom udvostručava.
Ukoliko primite ovakav mail odmah ga obrišite, te podjelite ovaj članak s svima koji imaju pristup važnim podatcima u vašem poduzeću kako bez njih ne bi ostali.
Primjer maila:
— — — — Izvorna poruka — — — —
Šalje: “FINA.hr” <tomislav.horvat@fina.online>
Datum: 15.12.2017. 12:31 (GMT+01:00)
Naslov: Elektronička obavijest o pokretanju ovršnog postupkaPoštovani,
temeljem članka 3. Ovršnog zakona (NN 112/12, 25/13, 93/14, 55/16,
73/17), točka 6., obavještavamo Vas o pokrenutnom ovršnom postupku.
Prijedlog ovrhovoditelja možete preuzeti putem sljedeće poveznice:
https://www.fina.online/ovr/uklonjeno-zbog-sigurnosti.pdf
Napominjemo da možete, sukladno članku 162. Ovršnog zakona, točna 2.,
nakon što primite rješenje o ovrsi, predložiti odgodu ovrhe iz razloga
navedenih u članku 65. Zakona. O prijedlogu za odgodu ovrhe podnesenom u
roku za žalbu protiv rješenja o ovrsi sud će odlučiti u roku od 8 dana
i, ako prihvati taj prijedlog, rješenje o odgodi odmah dostaviti Agenciji
u pisanom otpravku, a u slučaju potrebe priopćiti i telefaksom,
elektroničkom poštom ili na drugi pogodan način.Srdačan pozdrav
Tomislav HorvatFINA — Financijska agencija
Sektor financijskih i elektroničkih usluga
Ovršni odjel
Ulica grada Vukovara 70, 10 000 Zagreb
tel 01 6127 016
fax 01 6127 021
tomislav.horvat@fina.hr
www.fina.hr
Sada krećem u par tehničkih informacija o samom ransomwareu za sve zainteresirane.
Način zaraze
Zaraza se odvija putem linka u e-mailu koji otvara preuzimanje PDF-a ukoliko koristite podržani OS. PDF će se preuzeti samo na desktop verziji Windows operativnog sustava te će na mobilnim telefonima i ostalim platformama prikazati greške da koristite nepodržani uređaj.
Funkcija malicioznog koda
Ključ za kriptiranje se preuzima s https://www.fina.online/ovr/a.php nakon pokretanja te se podatci kriptiraju.
Nakon kriptiranja, pojavljuje se klasična ransomware poruka koja daje upute o plaćanju otkupnine od 2000 EUR putem Bitcoina na sljedeću adresu: 13srq1SP93mEs7asR2UxWBUts3x9oUcuac Na sreću još nema uplata na tu adresu što znaći da napadač nije uspješno zaradio ni lipe. Naravno, to ne znači da ne postoje ljudi koji su već zaraženi.
Reakcija
Domena je hostana na namecheap.com (naravno iza WhoisGuard) te je prijavljeno njeno maliciozno korištenje njihovoj abuse službi.
UPDATE (18.12.) — nakon samo 72 sata nakon prijave (sarkazam) namecheap je suspendirao korisnika te više nije moguće pristupiti linku u mailu te se zaraziti. Još čekam odgovor ukoliko će mi dati pristup bazi podataka kako bi se zaražena računala otključala.
Sam payload je hostan na Dropboxu (bravo Godra genije) te je isti i tamo reportan kao maliciozni kod što bi trebalo spriječiti daljnje zaraze nad već poslanim mailovima čim se ukloni na neko vrijeme dok Godra ne updatea svoj state-of-the-art web. Za to vrijeme se nadam da će i Namecheap reagirati i ukloniti maliciozni web u potpunosti.
UPDATE (25.12.) — Namecheap je odgovorio da ne mogu pružiti bazu podataka bez sudskog naloga. Ukoliko trebate otključati svoje podatke javite se CERT-u koji bi vas trebali uputiti u pravom smjeru.
