Fałszywe wiadomości z Sądu Najwyższego przez które możecie stracić dostęp do danych na komputerze

W ostatnim czasie zaobserwowaliśmy kampanię spam, w której przestępcy podszywają się pod Sąd Najwyższy. Do wiadomości załączany jest plik ze złośliwym oprogramowaniem - ransomware Sodinokibi. Jego głównym zadaniem jest szyfrowanie plików na zainfekowanym komputerze.

Fałszywe wiadomości z Sądu Najwyższego przez które możecie stracić dostęp do danych na komputerze
Wiadomości spam to wciąż jedna z najpopularniejszych metod infekcji komputerów wykorzystywana przez cyberprzestępców. Wykorzystując złośliwe oprogramowanie wykradają oni wszelkiego rodzaju dane zapisane na naszych komputerach. A wszystko to głównie dla pieniędzy.

W ostatnim czasie zaobserwowaliśmy kolejną kampanię spam, w której przestępcy podszywają się pod Sąd Najwyższy. Do wiadomości załączany jest plik ze złośliwym oprogramowaniem - ransomware Sodinokibi. Jego głównym zadaniem jest szyfrowanie plików na zainfekowanym komputerze. W praktyce wygląda to tak, że zaszyfrowanym plikom na komputerze zostaje zmienione rozszerzenie na .0s0j3k59. Wówczas użytkownik nie ma do nich dostępu, a przestępcy w zamian za ich odszyfrowanie żądają okupu.

Tak wyglądają wiadomości spam rozsyłane przez przestępców.
Untitled-1

Wszystkie wiadomości spam miały identyczną treść oraz załącznik. W niektórych przypadkach różniły się jedynie tematy:
Dokumenty Sądu Najwyższego numer sprawy [losowe liczby]
Dokumenty wysłane do Ciebie z Sądu Najwyższego numer sprawy [losowe liczby]
Dokumenty wysłane z sądu numer sprawy [losowe liczby]
Wzywa do Sądu Najwyższego Polski numer sprawy [losowe liczby]
Agenda Sądu Najwyższego numer sprawy [losowe liczby]
Porządek obrad w Sądzie Najwyższym Polski numer sprawy [losowe liczby]

Do wiadomości załączony jest plik w archiwum ZIP. Po rozpakowaniu archiwum otrzymujemy plik wykonywalny Dokumenty dotyczące Twojej sprawy.doc.exe. Mimo, iż jak widzimy poniżej plik ten ma ikonkę dokumentu Microsoft Word oraz w nazwie znajduje się .doc, to jego prawdziwe rozszerzenie to .exe. Po uruchomieniu tego pliku następuje infekcja systemu złośliwym oprogramowaniem ransomware Sodinokibi, a pliki na komputerze zostają zaszyfrowane.

Podglad_pliku

Na zainfekowanym komputerze zmienia się tapeta ekranu głównego i pojawia się plik tekstowy, w którym cyberprzestępcy umieścili instrukcję odszyfrowania plików - 0s0j3k59-readme.txt.

Widok ekranu głównego na zainfekowanym komputerze.
tapeta_2

Plik 0s0j3k59-readme.txt zawierający notatkę z żądaniem okupu.
instrukcja3-2

Cyberprzestępcy za odszyfrowanie plików żądają od kilkudziesięciu do kilkuset dolarów. Pamiętajcie jednak, że zapłacenie okupu nie gwarantuje, że Wasze pliki zostaną odszyfrowane. Dlatego należy regularnie robić kopie zapasowe dokumentów i plików na komputerze. Przede wszystkim jednak należy uważnie czytać wszystkie wiadomości email, jakie otrzymujecie. Jeśli otrzymacie wiadomość, której się nie spodziewaliście lub wzbudza Wasze podejrzenia - prześlijcie nam ją do sprawdzenia za pośrednictwem strony ZGŁOŚINCYDENT.

Strona przygotowana przez przestępców, gdzie znajdują się szczegóły odnośnie żądanego okupu.
TOR-1

Na stronie odliczany jest czas, jaki mamy na zapłacenie okupu. Obecna cena to 1300 dolarów, które cyberprzestępcy chcą otrzymać w bitcoinach. Po upływie czasu kwota do zapłaty zostanie podwojona, do 2600 dolarów.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.