Кибератака на госучреждение в Омске
Сегодня наши администраторы выявили атаку направленную на госучреждения и прочие юр.лица г. Омска.
На наш официальный ящик пришло письмо, с адреса ГУ МЧС России г. Омска, имитирующее уведомление о проведении плановой проверки МЧС.
На самом же деле, письмо отправленно с украинского сервера и украинского же провайдера.
[Техническая информация]
--------------------------------------------------------------------------------
From: ГУ МЧС России г. Омска
Date: Tue, 18 Aug 2015 07:10:20 +0200
Organization: ГУ МЧС России г. Омска
Received: from cp.webbox.com.ua (80.91.191.119) [обрезано]
Received: from wattenmeer by cp.webbox.com.ua with local (Exim 4.82) (envelope-from wattenmeer@cp.webbox.com.ua id 1ZRYFl-00046y-7D for [обрезано]
--------------------------------------------------------------------------------
[Заголовок уведомления. Все реквизиты МЧС указаны верно]
--------------------------------------------------------------------------------
* МИНИСТЕРСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ*
* ПО ДЕЛАМ ГРАЖДАНСКОЙ ОБОРОНЫ,ЧРЕЗВЫЧАЙНЫМ СИТУАЦИЯМ*
* И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ СТИХИЙНЫХ БЕДСТВИЙ*
**
* ГЛАВНОЕ УПРАВЛЕНИЕ МЧС РОССИИ*
* УПРАВЛЕНИЕ НАДЗОРНОЙ ДЕЯТЕЛЬНОСТИ*
* Отдел надзорной деятельности по Омской области*
644043,г.Омск,ул.Интернациональная ,д.41 тел.8(3812)49-91-385, факс 8(3812)49-91-32
________________________________________________________________________________________________________
*РАСПОРЯЖЕНИЕ*
* органа федерального государственного пожарного надзора*
* о проведении /_плановой _/проверки юридического лица*
* от 17 августа 2015 г. № 337*
[обрезано]
Информацию на наличие документации и план порядок проведения проверки можно узнать на нашем
официальном сайте: www.55.mchs.dov.ru/proverki/
--------------------------------------------------------------------------------
Внутри письма установленна ссылка на сайт МЧС, ведущая на подложный сайт, расположенный на немецком хостинге Hetzner-Online (ссылку я забил пробелами, во избежание случайного перехода).
Ссылка на сайт оказалась недоступна, однако, наибольший интерес представляет файл proverki.zip, находящийся во вложении.
Файл содержал исполняемый файл хранителя экрана, который должен был скопировать себя в систему под именем explore.exe и после перезагрузки должен был зашифровать и удалить файлы на рабочем столе и в папке "Мои документы", после чего самоликвидироваться. Одновременно, фоном рабочего стола устанавливалось сообщение о том, что если пользователь не желает потерять свои файлы, то должен зашифрованные файлы отправить на ящик load108 @ aol.com.
Сомневаюсь, что отправивший получил бы что-нибудь назад, но хакеры разжились бы рабочими документами какого-то числа гос.служащих.
Да, кстати Dr.Web зловреда этого отработал как trojan.encoder.567
На наш официальный ящик пришло письмо, с адреса ГУ МЧС России г. Омска, имитирующее уведомление о проведении плановой проверки МЧС.
На самом же деле, письмо отправленно с украинского сервера и украинского же провайдера.
[Техническая информация]
--------------------------------------------------------------------------------
From: ГУ МЧС России г. Омска
Date: Tue, 18 Aug 2015 07:10:20 +0200
Organization: ГУ МЧС России г. Омска
Received: from cp.webbox.com.ua (80.91.191.119) [обрезано]
Received: from wattenmeer by cp.webbox.com.ua with local (Exim 4.82) (envelope-from wattenmeer@cp.webbox.com.ua id 1ZRYFl-00046y-7D for [обрезано]
--------------------------------------------------------------------------------
[Заголовок уведомления. Все реквизиты МЧС указаны верно]
--------------------------------------------------------------------------------
* МИНИСТЕРСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ*
* ПО ДЕЛАМ ГРАЖДАНСКОЙ ОБОРОНЫ,ЧРЕЗВЫЧАЙНЫМ СИТУАЦИЯМ*
* И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ СТИХИЙНЫХ БЕДСТВИЙ*
**
* ГЛАВНОЕ УПРАВЛЕНИЕ МЧС РОССИИ*
* УПРАВЛЕНИЕ НАДЗОРНОЙ ДЕЯТЕЛЬНОСТИ*
* Отдел надзорной деятельности по Омской области*
644043,г.Омск,ул.Интернациональная ,д.41 тел.8(3812)49-91-385, факс 8(3812)49-91-32
________________________________________________________________________________________________________
*РАСПОРЯЖЕНИЕ*
* органа федерального государственного пожарного надзора*
* о проведении /_плановой _/проверки юридического лица*
* от 17 августа 2015 г. № 337*
[обрезано]
Информацию на наличие документации и план порядок проведения проверки можно узнать на нашем
официальном сайте: www.55.mchs.dov.ru/proverki/
--------------------------------------------------------------------------------
Внутри письма установленна ссылка на сайт МЧС, ведущая на подложный сайт, расположенный на немецком хостинге Hetzner-Online (ссылку я забил пробелами, во избежание случайного перехода).
Ссылка на сайт оказалась недоступна, однако, наибольший интерес представляет файл proverki.zip, находящийся во вложении.
Файл содержал исполняемый файл хранителя экрана, который должен был скопировать себя в систему под именем explore.exe и после перезагрузки должен был зашифровать и удалить файлы на рабочем столе и в папке "Мои документы", после чего самоликвидироваться. Одновременно, фоном рабочего стола устанавливалось сообщение о том, что если пользователь не желает потерять свои файлы, то должен зашифрованные файлы отправить на ящик load108 @ aol.com.
Сомневаюсь, что отправивший получил бы что-нибудь назад, но хакеры разжились бы рабочими документами какого-то числа гос.служащих.
Да, кстати Dr.Web зловреда этого отработал как trojan.encoder.567