Ransomware?

[bardeg]

Na służbowego maila dostałem plik nadany przez jeden ze sklepów internetowych z fakturą, na który z automatu kliknąłem (sic! a ostatnio nie dałem się złapać na myk z Playem!) - była to "faktura" o rozszerzeniu svg. Opis całej sytuacji jest niemal identyczny z tym opisywanym ostatnio na niebezpieczniku (nie linkuję, bo nie wiem czy wolno). No i teraz trochę boję się, że poszyfruje mi pliki.

 

 

 

Addition.txt

FRST.txt

Shortcut.txt

[Bonifacy]

 

 

Na służbowego maila dostałem plik nadany przez jeden ze sklepów internetowych z fakturą, na który z automatu kliknąłem

 Jak masz na myśli morele.net to jesteś w błędzie. Wejście na ich stronę skutkuje na chwilę obecną takim komunikatem:
 https://postimg.org/image/6c7czypjv/

[wiga]

Ja dostałam wiadomość od morele.net z nagłówkiem Morele.net Potwierdzenie zakupu nr 5775747 wysłaną z adresu sklep@morele.net
W załączniku plik faktura_5775747_PDF.z

Oczywiście nie otworzyłam.
W sklepie/firmie Morele.net nigdy nic nie kupowałam

[Bonifacy]

Tu - https://zaufanatrzeciastrona.pl/post/uwaga-na-falszywe-wiadomosci-podszywajace-sie-pod-sklep-morele-net/ wiecej o tym przypadku.
Średnio rozgarnięty użytkownik komputera nie otwiera plików z rozszerzeniem .z ...
Jeśli ktoś ma ukryte rozszeszerzenia bo mu to "rybka" , albo nie wie o co kaman z rorszerzeniami plików - to jest przysłowiową panią Krysią z biura.

Miszel03 chyba przespał Twoje logi...

[bardeg]

Ja też nie otwieram tego, śledzę i niebezpiecznik i z3s. Tutaj ta jedyna sztuczka tak wyszła (piątek, rozkojarzony już byłem ), a że wszystkie zamówienia firmowe/faktury idą przeze mnie to jakoś tak otworzyłem z rozpędu, ale jeszcze zanim plik się otworzył, to wiedzialem że odwaliłem.

 

Mógłby ktoś zerknąć mimo wszystko do logów? Nie wiem, czy usunęli exe z hostingu (w co wątpię, bo byłem w puli chyba pierwszych ataków sądząc po godzinach z artykułu - u mnie był mail koło 13, ale zanim poczytałem o logach, to mi trochę zeszło [swoją drogą, udzielałem się kiedyś na poprzednim forum SE, gdy jeszcze operowało się na Hijacku, a swoją karierę rozpoczynał polski Gmer , aż wspomnienia wracają]). Byłbym wdzięczny.

 

Swoją drogą, chciałbym pozdrowić oprócz picasso kogoś z tej starej ekipy!

[wiga]

Kolejna kampania z ransomware. Tym razem informacja o przesyłce wysłanej rzekomo przez polkurier.pl
W załączniku plik z rozszerzeniem.z
https://zaufanatrzeciastrona.pl/post/uwaga-na-nowa-kampanie-powiadomienie-o-planowanej-wizycie-kuriera/

[Miszel03]

Mógłby ktoś zerknąć mimo wszystko do logów?

 

Przespałem Twój temat, poproszę o nowy zestaw raportów FRST, a sprawdzę je jak najszybciej mogę.

[wojtek72]

Mi niestety pomimo czujności przez przypadek również udało się otworzyć fakturę (ja się później okazało od VORTEX RANSOMWARE lub Support Polski Ransom bo różnie siebie nazywają). Po jakimś czasie próbowałem ta wiadomość znaleźć na poczcie, ale niestety już jej nie było.

Wszystko jest zakodowane algorytmem AES-256.

 

Z uwagi na czas jaki musiałbym poświecić na odtworzenie danych zapłaciłem równowartość 100$ (wcześniej na próbę odkodowali mi 2 pliki).

Na razie pomimo zapłaty nie otrzymałem kodów aby odblokować pliki i raczej się już nie łudzę.