Video: Sglh virus (ransomware). How to decrypt .Sglh files. Sglh File Recovery Guide. (Listopad 2024)
Zdá se, že ne všechny útoky založené na e-mailu pocházejí od rodin deponovaných despotů, prodejců, kteří nabízejí zázračné drogy, nebo od přepravních společností, které vám připomínají doručení. Někteří vypadají jako nešťastní lidé hledající práci. A v této ekonomice všichni známe alespoň jednu osobu, která posílá životopisy každému, koho zná, v naději, že přistoupí na pohovor.
Ale jak Cloudmark řekl ve svém posledním příspěvku Tasty Spam: „Nenechte se v pokušení neočekávanými životopisy.“ Mohou tě kousnout, tvrdě.
Cloudmark nedávno viděl ransomware kampaň doručenou ve formě falešného životopisu, řekl výzkumník Andrew Conway. Samotný útok není přímý a recept musí otevřít nebezpečný soubor několikrát, ale stále je dostatečně efektivní, aby zasáhlo mnoho obětí.
Conway popsal různé kroky kampaně:
E-mail útoku pochází z Yahoo! E-mailový účet a soubor, který má být považován za pokračování. Conway poukázal na čtyři varovné signály ve zprávě: byla to nevyžádaná zpráva; odesílatel neposkytl příjmení; životopis byl odeslán jako soubor ZIP; a chyby v gramatice, interpunkci nebo pravopisu.
„Někdo, kdo opravdově podá životopis, by svou práci korigoval, “ řekl Conway.
Když příjemce otevře soubor.zip, najde soubor html se jménem jako resume7360.html . Skutečnost, že životopis je ve formátu.html, je dalším červeným příznakem, vzhledem k tomu, že většina životopisů je odesílána jako text, PDF nebo Word. „Samozřejmě je špatný nápad otevírat také nevyžádané soubory PDF a Word, “ řekl Conway.
Ukázka útočného souboru HTML vypadá takto:
Když se příjemce pokusí otevřít soubor, prohlížeč by se pokusil načíst adresu URL do značky IFRAME. „Je to stejné jako nutit uživatele, aby klikl na odkaz, “ řekl Conway a poznamenal, že v tomto případě odkaz ukazuje na kompromitovaný webový server. URL načte další soubor HTML, který má přesměrovací odkaz směřující na odkaz Dokumenty Google.
Přesměrování používá značku meta aktualizace, která se obvykle používá k aktualizaci obsahu webové stránky v reálném čase. Obnovení meta na webové stránce v jiné doméně je obvykle škodlivé. Většina lidí by k dosažení tohoto cíle použila přesměrování HTTP nebo JavaScript, nikoli meta aktualizaci. Pouze pro vaši informaci, HTML z kompromitované vstupní stránky vypadá takto:
Odkaz Google Docs stáhne další soubor zip nazvaný my_resume.zip a obsahuje soubor se jménem jako my_resume_pdf_id_8412-7311.scr . „Soubor náhodně stažený z internetu. Nebezpečí, Will Robinsone!“ řekl Conway.
Přípona.scr je určena pro spořiče obrazovky Windows, ale jsou to v podstatě speciálně formátované spustitelné soubory pro Windows. Rozšíření.scr se často používá k poskytování malwaru netušeným uživatelům. Když oběť otevře soubor.scr, spustí se ransomware. Všechny jejich soubory jsou šifrovány a jsou jim předloženy účty se stovkami dolarů, které je znovu získají.
Conway upozornila na tuto kampaň s ransomwarem zajímavým bodem. Útočník musel podniknout tolik spletitých kroků, protože moderní nástroje pro filtrování virů a spamu jsou natolik účinné, že jediným způsobem, jak uspět, je zřetězit více kroků, aby obešly obranu. Pokud máte pocit, že musíte přeskočit více hopposů, abyste si mohli prohlédnout životopis, mělo by to být varování, že něco není v pořádku. Možná ta osoba za e-mailem o práci opravdu nezajímá.
