• спам
• личный опыт

Продолжается распространение вирусов по электронной почте в виде писем якобы от операторов связи, госорганов или банков. Письма содержат вложения или ссылку на вложения, которые и есть вирус.

 

Способ распространения вируса таков. На электронный адрес приходит письмо довольно общего содержания: новый счет за услуги связи, обновление реквизитов, письма от ФНС или что-то подобное. В письме предлагается скачать вложение, чтобы узнать подробности. Вложение, само собой, принесет вам свеженький вирус. Хотя, возможно, речь идет о вирусе, который может получить «несанкционированный доступ» к программам клиент-банк, но наибольшая вероятность - получить вирус-шифровальщик, что еще страшнее.

Главные признаки:
• вложение надо скачать,
• вы (ваша компания) не упоминается явно
• текст письма содержит слишком общие фразы
• может также не упоминаться название отправителя, если реь идет о якобы вашем партнере.

Это и прям свяженькое от якобы Ростелекома, полученное на рабочий адрес 15 января 2015 года. Отправитель, указанный в служебных полях -  Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.. Однако, почтовая программа показывает его как Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. (подменный адрес отправителя почему-то указан не как домен ростелекома. а всего лишь похоже). Хотя почтовая программа сообщила о возможных проблемах с письмом из-за подмены обратного адреса, но такие сообщения обычно люди игнорируют.

В письме даже ссылка якобы ведет на скачивание файла с сайта «Ростелекома» — http://rostelecom.ru/bills/10400522-15-01 — на самом деле это всего лишь текст, а cсылка ведет на файлохранилище google (https://drive.google.com/file/d/0B8dnegPams_DaENHWENMQWR6TEk/view?usp=sharing). Который, кстати, при переходе по ссылке не уведомил меня, что файл заражен вирусом, да и онлайн-антивирусы ничего не нашли. Возможно, этот файл «всего лишь» скачивает сам вируса с другого сайта, а сам как бы не является телом вируса.

Ну вот не верю я, что в таком письме мне прислали безобидную заставку на компьютер под видом счета! А проверять/устанавливать - страшно.

В одном из декабрьских примеров подобных писем всё было проще. Вот текст: «Добрый день! Высылаю Вам исправленный счет за услуги связи. Новый счет в прикрепленных файлах или тут: https://cloud.mail.ru/public/K5HY/aJY3rMQkX С уважением Ростелеком». Письмо якобы отправлено с адреса почти в домене Ростелекома Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript., однако в «невидимой зоне» - в заголовке письма (до которого может добраться только опытной пользователь) указан обратный адрес Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript., а предыдущее письмо такого же содержания пришло с адреса Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.. Да и вложение сервис mail.ru определил как вирус.

Среди якобы отправителей писем могут быть не только операторы связи, но и предполагаемые безымянные ваши партнеры. Которые, конечно, не упоминаются в самом письме, то есть названия компании с «новыми реквизитами» в самом письме нет.

Те, кто «поведется» на письмо и скачает вложение, которое надо открыть/запустить, скорее всего, заразит свой компьютер вирусом-трояном. Одной из наиболее популярных разновиндостей «почтовых подарков» в конце 2015 года стали  «троянцы-шифровальщики». По данным антивирусной компании DrWeb, в ноябре 2015 года количество запросов на расшифровку от троянцев семейства Trojan.Encoder в службу технической поддержки «Доктор Веб» превысило 60% от общего количества. Однако, успешности расшифровки антивирусные компании гарантировать не могут.

 

Выводы. Будьте особо бдительны, вирусописатели находятся «на гребне прогресса», а уж методы «заставить» вас фактически своими руками скачать и запустить вирус на свой компьютер и вовсе достаточно убедительны.

Тем более что уже в январских письмах такого предупреждения, как на скриншоте ниже, вы не получите.