Fałszywe wiadomości z Sądu Najwyższego przez które możecie stracić dostęp do danych na komputerze
W ostatnim czasie zaobserwowaliśmy kolejną kampanię spam, w której przestępcy podszywają się pod Sąd Najwyższy. Do wiadomości załączany jest plik ze złośliwym oprogramowaniem - ransomware Sodinokibi. Jego głównym zadaniem jest szyfrowanie plików na zainfekowanym komputerze. W praktyce wygląda to tak, że zaszyfrowanym plikom na komputerze zostaje zmienione rozszerzenie na .0s0j3k59. Wówczas użytkownik nie ma do nich dostępu, a przestępcy w zamian za ich odszyfrowanie żądają okupu.
Tak wyglądają wiadomości spam rozsyłane przez przestępców.
Wszystkie wiadomości spam miały identyczną treść oraz załącznik. W niektórych przypadkach różniły się jedynie tematy:
Dokumenty Sądu Najwyższego numer sprawy [losowe liczby]
Dokumenty wysłane do Ciebie z Sądu Najwyższego numer sprawy [losowe liczby]
Dokumenty wysłane z sądu numer sprawy [losowe liczby]
Wzywa do Sądu Najwyższego Polski numer sprawy [losowe liczby]
Agenda Sądu Najwyższego numer sprawy [losowe liczby]
Porządek obrad w Sądzie Najwyższym Polski numer sprawy [losowe liczby]
Do wiadomości załączony jest plik w archiwum ZIP. Po rozpakowaniu archiwum otrzymujemy plik wykonywalny Dokumenty dotyczące Twojej sprawy.doc.exe. Mimo, iż jak widzimy poniżej plik ten ma ikonkę dokumentu Microsoft Word oraz w nazwie znajduje się .doc, to jego prawdziwe rozszerzenie to .exe. Po uruchomieniu tego pliku następuje infekcja systemu złośliwym oprogramowaniem ransomware Sodinokibi, a pliki na komputerze zostają zaszyfrowane.
Na zainfekowanym komputerze zmienia się tapeta ekranu głównego i pojawia się plik tekstowy, w którym cyberprzestępcy umieścili instrukcję odszyfrowania plików - 0s0j3k59-readme.txt.
Widok ekranu głównego na zainfekowanym komputerze.
Plik 0s0j3k59-readme.txt zawierający notatkę z żądaniem okupu.
Cyberprzestępcy za odszyfrowanie plików żądają od kilkudziesięciu do kilkuset dolarów. Pamiętajcie jednak, że zapłacenie okupu nie gwarantuje, że Wasze pliki zostaną odszyfrowane. Dlatego należy regularnie robić kopie zapasowe dokumentów i plików na komputerze. Przede wszystkim jednak należy uważnie czytać wszystkie wiadomości email, jakie otrzymujecie. Jeśli otrzymacie wiadomość, której się nie spodziewaliście lub wzbudza Wasze podejrzenia - prześlijcie nam ją do sprawdzenia za pośrednictwem strony ZGŁOŚINCYDENT.
Strona przygotowana przez przestępców, gdzie znajdują się szczegóły odnośnie żądanego okupu.
Na stronie odliczany jest czas, jaki mamy na zapłacenie okupu. Obecna cena to 1300 dolarów, które cyberprzestępcy chcą otrzymać w bitcoinach. Po upływie czasu kwota do zapłaty zostanie podwojona, do 2600 dolarów.