Wiadomości spam to wciąż jedna z najpopularniejszych metod infekcji komputerów wykorzystywana przez cyberprzestępców. Wykorzystując złośliwe oprogramowanie wykradają oni wszelkiego rodzaju dane zapisane na naszych komputerach. A wszystko to głównie dla pieniędzy.

W ostatnim czasie zaobserwowaliśmy kolejną kampanię spam, w której przestępcy podszywają się pod Sąd Najwyższy. Do wiadomości załączany jest plik ze złośliwym oprogramowaniem - ransomware Sodinokibi. Jego głównym zadaniem jest szyfrowanie plików na zainfekowanym komputerze. W praktyce wygląda to tak, że zaszyfrowanym plikom na komputerze zostaje zmienione rozszerzenie na .0s0j3k59. Wówczas użytkownik nie ma do nich dostępu, a przestępcy w zamian za ich odszyfrowanie żądają okupu.

Tak wyglądają wiadomości spam rozsyłane przez przestępców.
Untitled-1

Wszystkie wiadomości spam miały identyczną treść oraz załącznik. W niektórych przypadkach różniły się jedynie tematy:
Dokumenty Sądu Najwyższego numer sprawy [losowe liczby]
Dokumenty wysłane do Ciebie z Sądu Najwyższego numer sprawy [losowe liczby]
Dokumenty wysłane z sądu numer sprawy [losowe liczby]
Wzywa do Sądu Najwyższego Polski numer sprawy [losowe liczby]
Agenda Sądu Najwyższego numer sprawy [losowe liczby]
Porządek obrad w Sądzie Najwyższym Polski numer sprawy [losowe liczby]

Do wiadomości załączony jest plik w archiwum ZIP. Po rozpakowaniu archiwum otrzymujemy plik wykonywalny Dokumenty dotyczące Twojej sprawy.doc.exe. Mimo, iż jak widzimy poniżej plik ten ma ikonkę dokumentu Microsoft Word oraz w nazwie znajduje się .doc, to jego prawdziwe rozszerzenie to .exe. Po uruchomieniu tego pliku następuje infekcja systemu złośliwym oprogramowaniem ransomware Sodinokibi, a pliki na komputerze zostają zaszyfrowane.

Podglad_pliku

Na zainfekowanym komputerze zmienia się tapeta ekranu głównego i pojawia się plik tekstowy, w którym cyberprzestępcy umieścili instrukcję odszyfrowania plików - 0s0j3k59-readme.txt.

Widok ekranu głównego na zainfekowanym komputerze.
tapeta_2

Plik 0s0j3k59-readme.txt zawierający notatkę z żądaniem okupu.
instrukcja3-2

Cyberprzestępcy za odszyfrowanie plików żądają od kilkudziesięciu do kilkuset dolarów. Pamiętajcie jednak, że zapłacenie okupu nie gwarantuje, że Wasze pliki zostaną odszyfrowane. Dlatego należy regularnie robić kopie zapasowe dokumentów i plików na komputerze. Przede wszystkim jednak należy uważnie czytać wszystkie wiadomości email, jakie otrzymujecie. Jeśli otrzymacie wiadomość, której się nie spodziewaliście lub wzbudza Wasze podejrzenia - prześlijcie nam ją do sprawdzenia za pośrednictwem strony ZGŁOŚINCYDENT.

Strona przygotowana przez przestępców, gdzie znajdują się szczegóły odnośnie żądanego okupu.
TOR-1

Na stronie odliczany jest czas, jaki mamy na zapłacenie okupu. Obecna cena to 1300 dolarów, które cyberprzestępcy chcą otrzymać w bitcoinach. Po upływie czasu kwota do zapłaty zostanie podwojona, do 2600 dolarów.