Näytetään tekstit, joissa on tunniste Troijan. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste Troijan. Näytä kaikki tekstit

sunnuntai 3. huhtikuuta 2022

WeTransfer VIRUS -varoitus

 "Avoid installation of the Kryptik trojan via "WeTransfer" emails"
Tämä varoitus löytyy verkosta: https://www.pcrisk.com/removal-guides/17000-wetransfer-email-virus

Kyseessä on Troijalainen virus, joka ottaa koneesi haltuun. Eli jos saat e-mailin jossa sinulle kerrotaan saapuneen tiedosto WeTransfer palvelun kautta, heitä se roskiin, jos siis et tiedä sellaista olevan sinulle tulossa ja varovaisuudella jospa vaikka odottaisit. Kysy ensin mahdolliselta lähettäjältä, onko tiedosto todella sinulle tulossa. Jos lähettäjä on tuntematon, kyseessä on virus. Lähettäjän näet, kun viet kohdistimen lähetysosoitteen päälle /nyt siinä lukee WeTransfer mutta alta paljastuu jingsourcings(.)com, jonka kanssa minulla ei ole mitään tekemistä. Kannattaa myös uomata, että on olemassa todellinen kiinalainen softafirma "jingsourcing.com", jonka siivellä konna ratsastaa.

ÄLÄ MISSÄÄN TAPAUKSESSA ANNA ASENNUSOIKEUTTA, jos linkin päässä tuleva tiedosto asennusta kysyy. Myös esim. PDF ja Wordin dokumenttitiedostot voivat sisältää viruksen. JOS tiedosto esittää ikkunan, jossa pyydetään ottamaan kehotteet käyttöön. ÄLÄ ANNA LUPAA ja hävitä tiedosto! 

Linkissä oleva helmikuussa rekisteröity domainnimi "ipfs(.)io" ei ole vielä ehtinyt virustarkistuksiin mukaan, joten se ei vielä hälytä. Odotellaan ja varotaan.

Lähettäjä "jingsourcings(.)com" on rekisteröity Islantiin, Reykjavikiin, kuten moni muukin venäläinen spämmiosoite. Tämä viesti on ansa.

Lähetyksen TXT muodossa voidaan nähdä, että sekä "sinulle saapuva tiedosto" ja UNSUBSCRIBE - linkki on sama. Näin ei todellisessa lähetyksessä ole asianlaita.
Lisää neuvoja löytyy osoitteesta: "https://wetransfer.zendesk.com/hc/en-us/articles/208554156"

----------------------------KIRJEEN TXT MUOTO-------------------------

To : hannu.kuukkanen@XXXXXX.FI

A file have been sent to you using WeTransfer, see below to access the
documents.

Download Files [1] (linkki sama kun UNSUBSCRIBE)

Regards

(c) 2022 wetransfer.com, all rights reserved.
Legal | Accessibility | Privacy & Security

Preferences  |  Unsubscribe [1] (linkki sama kun DOWNLOAD)
 
Links:
------
[1] https://ipfs(.)io (kirjeessä on vain tämä yksi vaarallinen linkki, johon viitataan. Linkki on rikottu sulkumerkeillä ja tällä tekstillä)
/ipfs/QmeAbgZHQaYXX8A4wsN7YAWJJ6XQkiZaQ3MEdvxG6JbrmG?filename=onto.
html#hannu.kuukkanen@XXXXX.FI

 




sunnuntai 28. lokakuuta 2018

Sähköpostitilisi on kaapattu - kiristyskirje

Nyt kiertää sähköpostina kiristyskirje, joka "näyttää tulevan" sinun oman sähköpostitilisi osoitteesta ja siinä väitetään jotakin salasanaa sinun tilisi salasanaksi. Kirjeessä väitetään myös, että koneesi lukitaan 48 tunnin kuluttua jos et maksa lunnaita. Samoin kirje on täynnä muitakin uhkauksia mutta nämä ovat ainoastaan keksittyjä joista osan voit todeta itsekin huijjaukseksi.
Samankaltaisia kiristyskirjeitä tulee nyt vaihtelevin tekstein. Pääviesti on sama. Olen asentanut koneellesi "Rat" (jonkun nimisen) applikaation (ohjelman) jolla olen kaapannut salasanasi ja koneesi jne., maksa lunnaat.

Tämä on HUIJAUSKIRJE. Hävitä kirje ja korkeintaan vaihda tiliesi salasanat. Myös FaceBook ja Twitter ym. sosiaalisen median salasanasi, koska jostakin tuo sinun salasanasi on voitu kaapata aiemman kirjautumisesi yhteydessä.
Useat suljetut sivut vaativat asiakasta kirjautumaan G-mail, Twitter tai FaceBook (jne) tilin tunnuksilla. ÄLÄ kuitenkaan tee koskaan niin, vaan perusta jokaiselle suljetulle sivustolle oma salasana ja tunnus (jokaiselle oma ja erilainen). Tämä on hyvä varotoimenpide tällaisia vastaavia tapauksia vastaan. Myös tärkeimmät salasanasi on näin turvattu. Salasanalista kannattaa piilottaa pois koneesi lähettyviltä todellisen kotimurron varalta.

Tästä kiristyskirjeestä kerrotaan myös sivulla:
https://www.pcrisk.com/removal-guides/13912-hacker-who-cracked-your-email-and-device-email-virus

Tämän kirjeen headerista löytyy rivi:
X-PHP-Originating-Script: 10000:c.php
Tämä PHP scripti on spämmerin käyttämä postitusohjelma jolla hän on näitä "häkkäys"
-viestejään lähetellyt.


 Alla kopio kirjeen sisällöstä. Sähköpostiosoite on muutettu:

----------------------------------------------------------------------

Subject: sinun.sahkopostiosoitteesin@kolumbus.fi has password sejase123. Password must be 
changed

> Hello!
>
> I'm a programmer who cracked your email account and device about half year 
> ago.
> You entered a password on one of the insecure site you visited, and I 
> catched it.
> Your password from sinun.sahkopostiosoite@kolumbus.fi on moment of crack: sejase123
>
> Of course you can will change your password, or already made it.
> But it doesn't matter, my rat software update it every time.
>
> Please don't try to contact me or find me, it is impossible, since I sent 
> you an email from your email account.
>
> Through your e-mail, I uploaded malicious code to your Operation System.
> I saved all of your contacts with friends, colleagues, relatives and a 
> complete history of visits to the Internet resources.
> Also I installed a rat software on your device and long tome spying for 
> you.
>
> You are not my only victim, I usually lock devices and ask for a ransom.
> But I was struck by the sites of intimate content that you very often 
> visit.
>
> I am in shock of your reach fantasies! Wow! I've never seen anything like 
> this!
> I did not even know that SUCH content could be so exciting!
>
> So, when you had fun on intime sites (you know what I mean!)
> I made screenshot with using my program from your camera of yours device.
> After that, I jointed them to the content of the currently viewed site.
>
> Will be funny when I send these photos to your contacts! And if your 
> relatives see it?
> BUT I'm sure you don't want it. I definitely would not want to ...
>
> I will not do this if you pay me a little amount.
> I think $856 is a nice price for it!
>
> I accept only Bitcoins.
> My BTC wallet: 1PL9ewB1y3iC7EyuePDoPxJjwC4CgAvWTo
>
> If you have difficulty with this - Ask Google "how to make a payment on a 
> bitcoin wallet". It's easy.
> After receiving the above amount, all your data will be immediately 
> removed automatically.
> My virus will also will be destroy itself from your operating system.
>
> My Trojan have auto alert, after this email is looked, I will be know it!
>
> You have 2 days (48 hours) for make a payment.
> If this does not happen - all your contacts will get crazy shots with your 
> dirty life!
> And so that you do not obstruct me, your device will be locked (also after 
> 48 hours)
>
> Do not take this frivolously! This is the last warning!
> Various security services or antiviruses won't help you for sure (I have 
> already collected all your data).
>
> Here are the recommendations of a professional:
> Antiviruses do not help against modern malicious code. Just do not enter 
> your passwords on unsafe sites!
>
> I hope you will be prudent.
> Bye.

maanantai 26. helmikuuta 2018

Voiko PNG tiedosto sisältää viruksen?

Onko PNG-virus mahdollinen? Sitä on pohdittu eri verkkosivuilla ja ainakin yhdessä tapauksessa sen on todettu voivan sisältää viruksen. Lue koko sivu loppuun ajatuksella.

Sain tänään tyhjän sähköpostin jonka liitteenä oli PNG - tiedosto. PNG on kuvatiedosto jonka ei pitäisi olla vaarallinen. Kuva oli kilotavuiltaan pieni, eli ei pitäisi voida sisältää koodia. MUTTA.
ÄLÄ sinäkään missään tapauksessa luota onneesi virusten kanssa, vaan heitä tällaiset epämääräiset kirjeet roskiin ja tyhjennä roskis.



Minun kirjeeni saapui venäjältä ja se pyydettiin kierrättäämään epämääräiseen g-mail osoitteeseen. En tietenkään tehnyt niin.

"Brasilialaisen" PNG-viruksen toimintatavasta kertoo venäläinen verkkosivu: https://securelist.com/png-embedded-malicious-payload-hidden-in-a-png-file/74297/

Vapaa käännös SecureListin (Kaspersky Lab) tekstistä joka on sinänsä täyttä asiaa:

Brasilian virushyökkäykset kehittyvät päivittäin, yhä monimutkaisemmiksi ja tehokkaammiksi. On syytä olla varovainen tuntemattomista lähteistä peräisin olevien sähköpostien suhteen, erityisesti on varottava niiden linkkejä ja liitteitä sisältäviä tiedostoja.

Koska PNG-tiedostoon upotettuja haittaohjelmia ei voida suorittaa ilman sitä suorittavaa ohjelmaa, sitä ei voida käyttää tärkeänä saastuttajakomponenttina joka toimitetaan postilaatikkoosi, joten viruksen toimeenpaneva ohjelma on asennettava erikseen (siitä syystä kenties tuo kiertokirje jonka paluupostissa saattaisi saapua tuo toinen viruskomponentti, tai sitten ihan muuta kautta).

Tämä tekniikka mahdollistaa rikollisten piilottaman binaarikoodin tiedoston sisälle, joka näyttää olevan PNG-kuva. Se myös tekee virusanalyysimenetelmistä vaikeampia ja ohittaa automaattisen prosessin, haittaohjelmien havaitsemiseksi isäntäpalvelimilla.

-----------------loppusanat--------------------

Mielenkiintoista tässä myös on, että tämä Kaspersky Labin sivu tulee Googlauksessa ensimmäisenä ja Kaspersky Lab toimittaa virustorjuntaohjelmia jotka kuulemma estävät tämän PNG hyökkäyksen.
En uskaltaisi ladata tuota Kasperskyn ohjelmaa koneelleni ihan vaan syvistä ennakkoluulosyistä. Sehän saattaa olla juuri SE viruksen laukaiseva ohjelmakomponentti?
Verkossa kaikki on mahdollista :)

Verkkolehti WIRED kertoo tarinaa Kasperskysta
. Näissä asioissa kannattaa luottaa omaan terveeseen järkeen, ei propagandaan: https://www.wired.com/story/kaspersky-russia-antivirus/


keskiviikko 10. elokuuta 2016

DHL - liite sisältää viruksen.

ÄLKÄÄ missään tapauksessa koskeko tällaisen tai vastaavaan DHL:n e-mailin liitteeseen.
Jos olette asioineet nettikaupassa joka lähettää pakettinsa DHL:n kautta, tarkistakaa lähetyksenne oikea tilanne tuosta samasta verkkokaupasta, tai DHL:n virallisten sivujen kautta. EI missään tapauksessa vastaamalla tähän viestiin tai avaamalla tuo kehoitettu linkkitiedosto. Tiedosto SISÄLTÄÄ VIRUKSEN.

Tässä e-mailissa on useita kohtia jotka ilmaisevat, että kyseessä ei ole DHL:n postittama huomautus.
1) viesti on tullut muualta kuin DHL:n osoitteesta (tässä tapauksessa gmail osoitteesta joka ei ole DHL:n tapa toimia).
2) liite on tulossa Googlen julkiselta palvelimelta, eli EI siis DHL:stä.
3) To me "me@mail.com" ei ole vastaanottajan (sinun tai minun) osoite kuten sen pitäisi olla. Nimesi / osoitteesi ei siis ole oikeasti vastaanottajan tiedossa, vaan sen on lähettänyt typerä robotti joka ei ole osannut asettaa oikeaa e-mailosoitettasi paikoilleen vaan osoite on ryhmäspämmin yleisosoite.

Tuon päiväsakon tarkoitus on saattaa sinut hätääntyneeseen tilaan jossa erehtyisit klikkailemaan viruksen koneellesi. ÄLÄ siis tee mitään muuta kuin heitä e-mail roskiin tai tarkista asia virallisen verkkosivun tai puhelinnumeron kautta jos olet jotain DHL:stä odottamassa.


Se, että kuvat eivät näy e-mailissani johtuu selaimelle antamastani kiellosta.
Tämä e-mail on mennyt suoraan spämmikansioon josta sen ongin tänne varoitukseksi kaikille.

Lisätietoa aiheesta:
https://nakedsecurity.sophos.com/2013/03/20/dhl-delivery-malware/

DHL:n sivuilla oleva varoitus pesee omat kätensä kaikesta vastuusta.
http://www.dhl.fi/fi/lakiasiaa/valppaus_petosten_havaitsemiseksi.html

lauantai 23. tammikuuta 2016

FileZillan lataus saattaa koitua turmioksesi

Ladatessasi FileZilla FTP ohjelman koneellesi, saatat joutua haittaohjelmien uhriksi.

Liikkeellä on "näköis FileZilla" joka kuitenkaan ei ole aito ja alkuperäinen ohjelma. Se on naamioitu hyvin tarkaan esikuvansa näköiseksi. Ulkokuori pettää. Tämä haittaohjelmia sisältävä versio on erittäin vaarallinen. Se näyttää toimivan kuten aito FileZilla MUTTA... Panda security.com kertoo, että sen sisältämät haittaohjelmattoimivat seuraavalla tavoin:
Kun lisäät asiakirjoja, ne siirretään kiintolevylle, joka voi sijaita toisessa maassa. Haittaohjelma  toimii kuin Troijan hevonen. Se toimii tämän FileZillan kanssa yhteistyössä. Kun olet määritellyt FileZillaan  yhteyden palvelimen kanssa ja kommunikoit toiseen tietokoneeseen, se lähettää osoitteen, jossa tiedot on pidetty, ja FTP-tilisi kirjautumistiedot omalle piraattikoneelleen. (Ts. kaappaa kaikki käyttämäsi yhteydenottotiedot salasanoineen).

Osoitteita, johon haittaohjelma siirtää varastettuja tietoja, näyttäävät omaavan venäläisen maatunnuksen. Näitä ovat "aliserv2013.ru" ja "go-upload.ru", rekisteröity Naunet.ru:n kautta. Tämä nimi liittyy petollisen toiminnan, kuten roskapostin. Tämä foorumi piilottaa asiakkaidensa tiedot ja jättää huomiotta vaatimukset keskeyttää laittomasti toimiva verkkotunnus.

Tämä vilpillinen versio näyttää toimivan muuten kuten turvallinen ohjelma.


Alla olevassa kuvakaappauksessa (kuva on Panda security.com:n http://www.pandasecurity.com/mediacenter/src/uploads/2015/01/malware-filezilla.jpg) näkyy eroavaisuudet oikeaan FileZillaan verrattuna:


 Ainakin 20.1.2016 tilanne on ollut tämä Panda securityn mukaan. Valeohjelmaakin saatetaan päivittää, eli muista aina ladata ohjelmat luotettavalta toimijalta. Kaikissa tapauksissa se on ohjelman varsinainen valmistaja tai sen osoittama luotettava taho josta saat myös aina uusimman version. FileZillan tapauksessa se on: https://filezilla-project.org/ 

FileZillan asennustiedosto saattaa sisältää myös eitoivottuja ohjelmia. Siksi koneissa on hyvä olla virustarkistusohjelmat turvaamassa. Alla Malwarebytes:n pysäyttämä asennustiedostossa ollut haitallinen ohjelma. Ohjelmasta löytyy kuvaus osoitteessa: http://malwarefixes.com/threats/pup-optional-installcore/