FileZillan lataus saattaa koitua turmioksesi

Ladatessasi FileZilla FTP ohjelman koneellesi, saatat joutua haittaohjelmien uhriksi.

Liikkeellä on "näköis FileZilla" joka kuitenkaan ei ole aito ja alkuperäinen ohjelma. Se on naamioitu hyvin tarkaan esikuvansa näköiseksi. Ulkokuori pettää. Tämä haittaohjelmia sisältävä versio on erittäin vaarallinen. Se näyttää toimivan kuten aito FileZilla MUTTA... Panda security.com kertoo, että sen sisältämät haittaohjelmattoimivat seuraavalla tavoin:
Kun lisäät asiakirjoja, ne siirretään kiintolevylle, joka voi sijaita toisessa maassa. Haittaohjelma  toimii kuin Troijan hevonen. Se toimii tämän FileZillan kanssa yhteistyössä. Kun olet määritellyt FileZillaan  yhteyden palvelimen kanssa ja kommunikoit toiseen tietokoneeseen, se lähettää osoitteen, jossa tiedot on pidetty, ja FTP-tilisi kirjautumistiedot omalle piraattikoneelleen. (Ts. kaappaa kaikki käyttämäsi yhteydenottotiedot salasanoineen).

Osoitteita, johon haittaohjelma siirtää varastettuja tietoja, näyttäävät omaavan venäläisen maatunnuksen. Näitä ovat "aliserv2013.ru" ja "go-upload.ru", rekisteröity Naunet.ru:n kautta. Tämä nimi liittyy petollisen toiminnan, kuten roskapostin. Tämä foorumi piilottaa asiakkaidensa tiedot ja jättää huomiotta vaatimukset keskeyttää laittomasti toimiva verkkotunnus.

Tämä vilpillinen versio näyttää toimivan muuten kuten turvallinen ohjelma.

Alla olevassa kuvakaappauksessa (kuva on Panda security.com:n http://www.pandasecurity.com/mediacenter/src/uploads/2015/01/malware-filezilla.jpg) näkyy eroavaisuudet oikeaan FileZillaan verrattuna:

 Ainakin 20.1.2016 tilanne on ollut tämä Panda securityn mukaan. Valeohjelmaakin saatetaan päivittää, eli muista aina ladata ohjelmat luotettavalta toimijalta. Kaikissa tapauksissa se on ohjelman varsinainen valmistaja tai sen osoittama luotettava taho josta saat myös aina uusimman version. FileZillan tapauksessa se on: https://filezilla-project.org/ 

FileZillan asennustiedosto saattaa sisältää myös eitoivottuja ohjelmia. Siksi koneissa on hyvä olla virustarkistusohjelmat turvaamassa. Alla Malwarebytes:n pysäyttämä asennustiedostossa ollut haitallinen ohjelma. Ohjelmasta löytyy kuvaus osoitteessa: http://malwarefixes.com/threats/pup-optional-installcore/

 

WhatsApp VIRUS liikkui sähköposteissa vielä viime keväänä 2015

... ja saattaa liikkua edelleenkin. Olkaa varovaisia.
Varoitin tästä asasasta jo maaliskuussa 2014. http://vaarallinenweb.blogspot.fi/2014/03/videoansa.html

Panda Security.com kirjoitti aiheesta artikkelin "Virus in the name of WhatsApp! Now via email!"
Marta López •   August 21, 2015

Käännöslyhennelmä Panda securityn artikkelista:

"Você recebeu uma menssagem de voz… (" tai "Offline video mail")

Oletteko saanut tällaisen ilmoituksen ja ymmärtänyt sen tarkoittavan, että sinulla on ääniviesti (tai videoviesti) WhatsApp:issa? Asia ei ole kuitenkaan näin!

Jo toukokuussa varoitettiin tästä asiasta. Verkkorikolliset jatkavat edelleen hyökkäysyrityksiään sähköpostin mm. VhatsApp:in kautta. Kun kuvittelet lataavasi äänipostin koneelle, saatkin viruksen.

Kun klikkaat 'Visualizar " (tai Autoplay"), saat haittaohjelman tai pahimmassa tapauksessa useita haittaohjelmia tietokoneeseen. Mm. sellaisia jotka voivat siepata tiedostoja, lamaannuttaa tietokoneen tai tuottaa mitä tahansa ei toivottuja toimia koneellasi.

Joten, kun nyt tiedät ... Älä avaa, epäile, ja katsele tarkkaan mistä e-maili on tullut. Jos viesti on tullut muualta kuin WhatsApp:in lähettämänä, se on virusviesti. Jos sinulla on pienikin epäilys viestin oikeellisuudesta, heitä se suoraan roskakoriin!
Jos viestissä lukee lähettäjän nimi, ota yhteys lähettäjään puhelimella tai erillisellä sähköpostiviestillä osoitteeseen, jonka tiedät varmasti olevan hänen.
WhatsApp ei lähetä ilmoituksia odottelevista ääniviesteistä.

ELISAN nimellä tullut spämmi on VAKAVA TIETOTURVAUHKA

"Ikäänkuin" Elisasta lähetetty tiedotus joka on ERITTÄIN VAARALLINEN. Älä klikkaa mitään linkkiä. Linkit eivät vie Elisaan. Linkkien päässä on todennäköisesti virus ja vähintäänkin tietojasi yritetään kalastaa. Huono suomenkieli on jo varoitus viestin epäaitoudesta.
Jos olet saanut tällaisen viestin, hävitä se.

Täällä alareunassa näkyy todellinen osoite, kun viet kursorin linkin päälle. Tuo linkin lopussa oleva elisa-fi EI TARKOITA, että se olisi menossa Elisaan. Todellinen konetunnus, jonne linkki on menossa on tuo alussa oleva numerosarja. Kansionimi ~horses viittaa ikävällä tavalla "Troijjalaiseen" eli tiedostoon joka kantaa sisällään hyökkäysohjelmaa. On melko läpinäkyvää kun asian oikein tulkitsee.

David Alvarezin ID kalastelua

David Alvarez yrittää kalastella tietojasi (ja rahojasi). Mihinkään Alvarezin antamaan yhteystoetoon ei kannata otta yhteyttä. Kaikkien kautta tapahtuu sama operaatio. Puhelimitse ilmeisesti kaiken lisäksi puhelustasi laskutetaan lisähintaa. Myöskään DHL ei käytä gmail osoitetta. Äläkä liity Alvarezin piireihin myöskään (buttoni oikealla). Jos spämmisuodattimesi on päästänyt tämän emailin koneellesi, deletoi (poista) se.

Hyvää viruksetonta Uutta Vuotta 2016

Jokaisella koneella tulee olla tänään virustarkistusohjelma, joko maksuton tai maksullinen. Maksulliset versiot seuraavat myös selaimesi kautta tulevia hyökkäyksiä ja päivittävät virustorjuntatiedoston, sekä skannaavat jatkuvasti konettasi.
Verkko on pullollaan rikollista toimintaa joilla yritetään rahastaa tavalla tai toisella.

Kiristys on yksi ikävimmistä ilmiöistä.
Liitetiedostojen mukana leviää mm. ohjelma nimeltä Cryptolocker, joka salaa kovalevysi sisällön ja pyytää sen jälkeen sinulta lunnaita tiedostojesi palauttamiseksi. Yksityishenkilön on mahdoton selvittää salausavainta.
Yksi hyvä keino varautua tähän, kuten muihin viruksiin, sekä myös kovalevyn tuhoutumiseen, on jatkuvasti tehty tiedon varmennuskopiointi. Automatiikkaa en suosittele, koska myös virukset kopioituvat mahdollisesti samalla varmennuslevyllesi. Eli kopioi kaikki tärkein tietosi (tunnukset yms.) ja päivän työsi joka ilta varmennuslevylle. Irroita sen jälkeen varmennuslaite koneesta. Työlästä mutta se on melko varma tapa suojata tärkeä data.
Myös DVD levylle siirretty tärkeä tieto on hyvin turvassa.

Jos olet havainnut koneellasi outoja tapahtumia, saattaa koneellasi majailla virus tai muu haittaohjelma. Jos näyttöön ilmestyy jokin uhkausviesti, irroita laite välittömästi verkosta laajemman tuhon välttämiseksi. Kirjoita viesti muistiin ja katkaise virta laitteesta. Kannettavissa voi myös napata akun pois välittömästi. Menetät viimeisimmän työsi mutta saatat pelastaa kuukausien työt. Vie sen jälkeen koneesi ammattilaisen puhdistettavaksi. Kerro huoltomiehelle, mitä kuvaruudulla luki.
Virukset saattavat lauetessaan myös esittää erilaisia animaatioita. Esim. kuvatuutuasi putsataan pala palalta tms. yhtä ikävää. Piuhat irti heti, koska kovalevyäsi tuhotaan tuon animaation aikana.

Yksi mahdollisuus omatoimiseen (vähemmän haitallisten - jos sellaisia nyt yleensä sitten onkaan) virusten poistoon on etsiä opastusta verkosta. Suomenkielistä opastusta löytyy ainakin sivulta "virus.fi". Kotiverkoissa ja yritysverkoissa yksittäisen koneen virusten poisto ei auta, vaan koko kodin/yrityksen laitekanta on tarkistettava mahdollisen virusinfektion havaitsemiseksi ja poistamiseksi.

Älä lankea YouTuben tyrkkymainontaan

Olen jo aiemmissa kirjoituksissani teilannut harhaanjohtavan verkkomainonnan (kuvan alapuolella linkit). Nyt tällaista on ilmestynyt YouTuben videoiden päälle. En osaa sanoa kuka mainoksen on videon joukkoon laittanut (se oli "ikkunana" videon päällä) mutta kaikissa tapauksissa; ÄLKÄÄ kilkatko mainosta. Koneessanne tuskin on mitään oleellista vikaa joka haittaisi teitä. Mainos on harhaanjohtava.
Saattaa myös olla, että kilikkaus tuo koneellesi tarkastus-scannauksen sijasta tai sen lisäksi haittaohjelman. Ilmaista ateriaa ei ole myöskään netissä.

http://vaarallinenweb.blogspot.fi/2015/03/varokaa-kaapparimainosta.html
http://vaarallinenweb.blogspot.fi/2014/11/yasni-mainosansojen-torkeyden-huippu.html

DOC - Laskuliite on ANSA

Kun saat tällaisen e-mailin jossa on laskuliite (tai mikä tahansa liite oudolta lähettäjltä), ole hyvin tarkka mistä se on tulossa ja keneltä.
Tässa e-mailissa halutaan harhauttaa vastaanottajaa aivan tosissaan. Laskun lähettäjä on 
"Patricia Crowe" <accounting@silikaus.com>. http://www.silikaus.com/ on nettikauppa mutta tämä on hämäystä. Lähettäjänimeksi jne. voidaan e-mailiin kirjoittaa mitä tahansa. Viesti ei ole myöskään järkevä, sen on tarkoitus hämätä vastaanottajaa.
Lasku on kuitenkin tullut ikäänkuin väärään osoitteeseen (osoitteeseen joka ei ole sinun):
juha.joku@elisanet.fi

Tämä ei ole mahdollista kuin huijjausposteissa. Osoite on "dummy" eli ei ole todellinen vastaanottaja. ÄLÄ MENE LANKAAN ja lähetä e-mailia takaisin tai Juha Jokulle (nimi muutettu), vaan heitä se roskikseen. ÄLÄ missään tapauksessa koske liitteeseen, se on ANSA.

Ansa saattaa olla vain manoskirje MUTTA DOC tiedosto saattaa sisältää myös ns. macro-ohjelmia jotka voivat toimia haittaohjelmina koneellasi.

E-mailissa esiintyvä redtech.com on Washingtonissa toimiva Redmond Technology Partners verkkomainontaa suunnitteleva ja tuottava toimisto. Jos tämä olisi heidän tekosiaan, en povaa pitkää tulevaisuutta heidän toiminnalleen verkossa.

Googlen oma markkinointi-spämmi

Google+ lähettelee "piiripyyntöjä" jonkun tuttusi nimissä.
Nämä "piiripyynnöt" tai ehdotukset on automaattisesti Googlen generoimia, ne eivät tule kaveriltasi.

Näet Google+ profiilissasi, että kaveria (joka on langennut Googlen e-mailansaan) tarjotaan sinun piireihisi.
Et siis ole itse tehnyt asian eteen mitään mutta piirejä lihotetaan Googlen toimesta sinun nimeä hyväksi käyttäen. Erittäin arveluttavaa tomintaa ja vastoin eettisiä sääntöjä.

He varoittavat vastaavista spämmeistä, joissa hyödynnetään jonkun henkilön sähköpostiosoitetta mutta syyllistyvät itse omassa markkinoinnissaan aivan vastaavaan.

Frieda Forbes Courier Service liite-VIRUS

ÄLKÄÄ koskeko liitteeseen jos saatte tämän tapaisen lähettipalveluilmoituksen.
Liite on ZIP (lasku) tiedosto, joka voi sisältää ja sisältää todennäköisesti viruksen.
"invoice_copy_98959032.zip"
Näitä virusliitteitä saattaa tulla myös muilla yritysnimillä. Ottakaa yhteys lähettifirmaan josta odotatte lähetystä, älkää missään tapauksessa avatko liitteitä.

Tämän nimistä lähettifirmaa en pikahakuna edes löydä verkosta.

-----------------------------------------------------------------------------------------------

Dear Customer

Your invoice appears below. Please remit payment at your earliest convenience.

Thank you for your business - we appreciate it very much.

Sincerely,
Frieda Forbes Courier Service
------------------------------------------------------------------------------------------------

"Ystävän nimellä" tulee jatkuvasti vaarallista postia

Jälleen uusi yritys tutulla sähköpostiosoitteella. CC:lista, eli viestin sähköpostilista oli myös kaapattu ja tuttuja nimiä täynnä MUTTA varsinainen sähköpostiosoite oli muu kuin mikä oli lähettäjänimi.
HUOMAA, että viesti on yleensä aina sama. Lyhyt, ytimekäs ja englanninkielinen. Tarkoitus on aina saada viestin saaja klikkaamaan linkkiä.

Linkki vie ansaan, jonka F-secure onneksi osaa estää ja kertoo linkin olevan vahingollinen sivusto.
Muutin joka tapauksessa osoitetta hieman, jotta vahinkoja ei tapahdu. Kaikki virustorjuntaohjelmat eivät kenties tunnista haittasivustoa. Vaimo ei osannut epäillä tätä postia, eikä moni muukaan.

-------- Alkuperäinen viesti --------
Aihe: Fw: important message
Päiväys: 07.12.2015 07:21
Lähettäjä: Lauri XXXXXXX <xxxxxxx.jusi@pp.inet.fi>
Vastaanottaja: "xxxxxxxxx" <xxxxxxxx@gmail.com>, "xxxxxxxxx" <axxxxxxxxx@kolumbus.fi>, "xxxxxxxx" <xxxxxxx@gmail.com>, "xxxxxxxxxxx" <xxxxxxxxxxx@webcag.fi>, "xxxxxxxxxxxx" <xxxxxxxxxxxxxxxxxx@saunalahti.fi>

Hello!

NEW MESSAGE, PLEASE READ http://dolitlepetsupplies(.)co.uk/pehaps.php
[1]

Lauri xxxxxxxxx

Links:
------
[1] http://dolitlepetsupplies.co(.)uk/pehaps.php?y03

---------------------------------------

Domainnimikysely antaa seuraavan tuloksen.
Huomattava on, että Gareth Thomas, ei ole itse konna. Hänen palvelintilansa on vain kaapattu rikolliseen käyttöön. Tosin osoitteen salailu ei anna rehellistä kuvaa henkilöstä mutta ei se liioin tee hänestä konnaakaan.

Domain name:
dolittlepetsupplies.co.uk

Registrant:
Gareth Thomas

Registrant type:
UK Individual

Registrant's address:
The registrant is a non-trading individual who has opted to have their
address omitted from the WHOIS service.

Data validation:
Nominet was able to match the registrant's name and address against a 3rd party data source on 10-Dec-2012

Registrar:
UK2 Limited [Tag = UK2NET]
URL: http://uk2.net

WHOIS lookup made at 18:19:47 07-Dec-2015