Задать вопрос

Пришло письмо с js внутри, в котором происходят странные вещи, кто знает что это такое?

Сегодня на рабочую почту пришло письмо с вполне безобидным содержанием "Доброго времени суток, Мы со своей стороны понимаем, что на дворе кризис, но, тем не менее, мое руководство предлагает подписать Акт сверки (см. вложение)...". Я сразу заметил что вложение с расширением js. Открыл в блокноте, там с некоего сайта качаются 3 файла - exe, bat и doc.
Не смог остановиться, очень стало интересно что же это такое, поднял виртуалку поковырял файлы(даже пробовал запускать exe и bat) и решил написать сюда может кто знает что это такое?
1. Bat файл внутри содержит вот такой текст:
aa19926d86c34aebaa8a060591143b7a.png
Google translate распознает это как китайский язык: "Йи Пен искуп холостого хода блины Лю Цзяо".
Как bat может быть на китайском? Он чем то зашифрован или скрипты можно писать на разных языках??
2. doc файл при открытии:
9c38e8ef49074d7fa094701492cdfa8b.png
Опять китайский и непонятно вообще что это и зачем.
3. При запуске exe происходит скачивание библиотеки GnuPG
f156773e4a284db3aed9a38ef047f8ae.png

Кто нить что-нить знает что это такое? Дико интересно стало.

Спасибо 27cm 27cm, вот что в батнике
60598dbb93be43ad838ea6bf85c383e3.png
  • Вопрос задан
  • 3448 просмотров
Подписаться 3 Оценить Комментировать
Решения вопроса 3
Kuroryu
@Kuroryu
Шифровальщик vault, использует гпг, шифрует все файлы *.doc, *.jpg, почту и т.п., создает пару ключей и свою отсылает мошенникам, после чего создает текстовый файл с предложением заплатить деньги, дабы получить ключ и дешифровать файлы. Цена вопроса от 50 до 1000 долларов, сайт мошенников в сети тор. Когда у меня юзвери словили эту заразу, я связывалась с каспером и нод32, они подтвердили, что лекарства нет и не будет еще долго, а сам вирус антивирями не обнаруживается. Так что будьте осторожны и проведите разъяснительную работу с юзверями - это единственный способ максимально избежать заражения.
Ответ написан
Комментировать
27cm
@27cm
TODO: Написать статус
Читать batник notpadом это пять. Вы бы ещё exeшник им открыли и в google translate перевели)

кто знает что это такое?

Наверняка какой-нибудь троян или ещё какая пакость. Проще антивирусу/антишпиону/антитрояну скормить, он и подскажет, что это.
Ответ написан
@vilgeforce
Раздолбай и программист
JS скачивает GPG, который наверняка уже прямо сейчас шифрует ваши файлы :-)
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
avvor
@avvor Автор вопроса
.Net developer
А куда можно написать чтоб сайт их заблокировали? Я понимаю что они новый зарегистрируют но хоть что то сделать, от таких ушлепков люди пострадают. Мне вот на корпоративную почту пришло, менеджеры бы 100% это открыли и запустили, повезло что я первый открыл почту утром.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы