Phising e-mail skinuo virus

[Colop]

Desilo mi se sranje.
U žurbi kliknuo na phising email od e-računa, skinuo neki zip file.
Ne razmišljajući double klik, otvorio mi se pdf i neki html pomoć.
Kliknem na pdf, pdf zbluran.
Taj tren mi kroz Glavu prolazi da nešto ne štima.
Skeniram sve sa kasperyskim on ne javlja ništa.
Zovem IT službu od e računa, oni mi javljaju da im pošaljem attachment. Attachment šaljem, gmail javlja da postoji virus.

Ištekao sam računalo trenutno iz lana.
Gdje vidjeti koji virus i koje su posljedice?


attachment sa virusom se nalazi na ovoj web stranici :


www.serverhrhosting.hr/e-dostava/index.html (dodati između serverhr i hosting -)


Što da radim ?

[coconut]

Html link te možda navodio na fake site banke gdje bi ti tražili podatke pa usput skinuli lovu s računa. Ako nisi išao toliko daleko, vjerojatno se ništa nije dogodilo.
Lošija varijanta je da si klikom na 'pdf' aktivirao ransom modul koji sve fileove na kompu pretvara u fileove s čudom extensijom i onda te traže x BTC-a za vraćanje fileova nazad u normalu.

[Colop]

Citiraj:

Autor coconut

Html link te možda navodio na fake site banke gdje bi ti tražili podatke pa usput skinuli lovu s računa. Ako nisi išao toliko daleko, vjerojatno se ništa nije dogodilo.
Lošija varijanta je da si klikom na 'pdf' aktivirao ransom modul koji sve fileove na kompu pretvara u fileove s čudom extensijom i onda te traže x BTC-a za vraćanje fileova nazad u normalu.

Nije me navodilo na banku, nego na zip file unutar kojeg su se nalazili pdf i html file.
Kada sam otvorio pdf vidio sam da je zlubran i skužio da nešto ne štima.
Taj tren sam izvukao kabel iz lan porta.
Kaspersky ništa ne pronalazi.
Kada sam pokušao attacment poslati ovim iz e -računa, javilo mi je da ima virus.


jel postoji netko tko ima linux ili nešto tako da klikne na ovo čudo, i vidi o čemu se radi ?


Najviše me zbunjuje što google kada sam išao poslati službi za korisnike javlja da je u attachmentu virus, a kada skeniram taj isti zip file kaspersky ništa ne javlja.

Plaćam pivu, uslugu ili što god treba


ili me uputite na web stranicu gdje mogu uploadati privitak da se skenira od virusa ?

[Colop]

Update I.


Maknuo sam NAS iz mreže, i sad ću prekopirati na eksterne HDD-ove u read only modu dokumentaciju.


Skenirao sam sumnjivi file sa 5-6 antivirusa, i svi javljaju da je čisto, osim googla koji kaže da je virus.


Phising neki sigurno je bio.


Što da radim

[kopija]

Uploadaj tog sumnjivca na Virustotal.
Skini Kaspersky Rescue Disk pa napravi scan.

[Colop]

Evo ga što kaže virus total



Cyren
CHM/Powlod.B.gen!Eldorado


Fortinet
JS/Redirector.QBU!tr






Google
Detected


NANO-Antivirus
Trojan.Script.Heuristic-js.iacgm


Ostalih 56 antivirusa ne kaže ništa pametno.
Sad mi je pitanje dal se virus nalazio u pdf file-u ili u html pomoć file-u.
Jer html file nisam klikao.


edit:


gledam sada malo detalje:
bill_eB2B_5030475198-285-4_5030475198_202305_B.pdf - 0/60 detekcija
pomocx86.chm je drugi file, i kod njega po pitanju detekecija piše samo upitnik

[kopija]

False positive očito.



Uplašilo te što je Gmail počeo vrištat kad si poslao taj "sumnjivi" pdf.
Gmail koristi Virustotal engine i ako samo jedan od trideset AV-a kaže da je nešt sumnjivo, Gmail po principu "better safe than sorry" fino ni kriv ni dužan attachment proglasi virusom.

Moj kriterij za te 3/30 detekcije na Virustotal je: ako Kaspersky kaže da nije virus onda nije virus

[Colop]

Citiraj:

Autor kopija

False positive očito.



Uplašilo te što je Gmail počeo vrištat kad si poslao taj "sumnjivi" pdf.
Gmail koristi Virustotal engine i ako samo jedan od trideset AV-a kaže da je nešt sumnjivo, Gmail po principu "better safe than sorry" fino ni kriv ni dužan attachment proglasi virusom.

Moj kriterij za te 3/30 detekcije na Virustotal je: ako Kaspersky kaže da nije virus onda nije virus

Mene je uplašila kombinacija phishing email+ phising web+ sumnjivi privitak koji je skinut, zato sam mislio da je 100% virus.
Na računalu imam plaćeni kaspersky total security koji je updejtan

Poslano sa mog SM-N770F koristeći Tapatalk

[kopija]

Meni samo nije jasno zašto Gmail propušta phishing email u inbox a kad ne propušta u outbox.

[Colop]

Citiraj:

Autor kopija

Meni samo nije jasno zašto Gmail propušta phishing email u inbox a kad ne propušta u outbox.

Zato što je attachment skinut sa phising web sitea.

Poslano sa mog SM-N770F koristeći Tapatalk

[Colop]

Radim neku check listu stvari koje bi trebao napraviti



-Pokrenut? virus oko 13:30 03/07/2023



-Računala se nalaze u mreži, i postoji server sa sheranim diskom. Na sherani disk se svi mogu zakačiti, tako ako sam pokupio neki ransomware, to je kompromitirano.


-Iza servera se nalazi NAS koji se svakog dana u 1-2 ujutro spoji na server sa username/password računom i napravi backup podataka koji su se promjenili.


-Na NAS nitko nema pristupa osim mene, na NAS-u se nalazi cca 30 zadnjih dana automatskog backupa



-Kad se ovo sranje desilo, odmah sam disejbalo svog usera na NAS-u, stavio da ima mogućnost read only.


-Zadnjih 30 dana automatskog backupa sam uplodao na Synology C2 cloud preko hyper vaulta.





-Disejblao automatski backup na NAS.


-Kopirao na eksterni disko u read only modu zadnjih 30 dana backupa.


Koliko mogu vidjeti, ako je ransomware mogu proći i mjeseci prije nego se aktivira.
Ja svejedno moram raditi backup novih podataka nastalih nakon 03.07.2023 koji su možda zaraženi.
Na koji način da to radim, tj gdje da to radim a bez da ugrozim "čiste" backupe.

[kopija]

Skinuo zip.

Ispravka netočnog navoda, nije false positive.

Nemogu se AV velikani odlučit dal je virus il nije.
Zajebana stvarčica, pretpostavljam da je pdf zbluran zato da bi korisnika ponukao da klikne na "help" koji je u biti maliciozni .lnk file.
IMHO, ako nisi kliknuo na taj .lnk nemaš beda.

[Colop]

Citiraj:

Autor kopija

Skinuo zip.

Ispravka netočnog navoda, nije false positive.

Nemogu se AV velikani odlučit dal je virus il nije.
Zajebana stvarčica.

Jelda.
Jesi uspio skužiti dal je virus u PDF-u ili u pomoc fileu?


edit: ja sam jučer skenirao taj isti file u Virus total i nije mi bilo pozitivnih .
Danas ujutro su 4 antivirusa dekterirala.
Sada 7 antivirusa detektira.
Dal je ovo onda neki 0 day exploit ili što ?

[Colop]

Citiraj:

Autor kopija

Zajebana stvarčica, pretpostavljam da je pdf zbluran zato da bi korisnika ponukao da klikne na "help" koji je u biti maliciozni .lnk file.
IMHO, ako nisi kliknuo na taj .lnk nemaš beda.

Nisam klikao na help, jedinu stvar koju sam napravio kad mi je sve skupa počelo biti sumnjivo je da sam otvorio notepad, i onda dropao taj lnk file u notepad, jer me zanimalo jel ima išta pametno unutra.
Ako je to html file sa pomoći onda bi trebalo biti ljudski čitljivog teksta u njemu.
Kako nije bilo ništa takvog, samo sam napravio shift + del


EDIT:
Da bi spriječio izluđivanje samog sebe sljedećih par mjeseci, odlučio sam napraviti sljedeće.


1. Ovo računalo na kojem sam skinuo privitak ću format c:/ reinstall windowsa i ostaviti ga iskopčanog iz mreže.

2. Nakon što reinstallam windowse, napravit ću image diska.
3. Spojit ću se na net preko mobitela.
4. Skinut ću zip, raspakirati i kliknuti na pomoc.


Ovi iz e-računa tvrde da te nakon toga pita usernameove i passove i ništa više od toga

[kopija]

Sumnjam da je zero-day, to čuvaju za high-profile mete.
Kaspersky bi odma digao paniku da si POKRENUO taj "help".
Broj crvenih hitova na Virustotalu raste zato što s vremenom raste i broj korisnika koji su actually pokrenuli "help", heuristika AV programa skuži da je maliciozan, blokira izvršenje i briše ga i javi centrali da ga ubaci u malware bazu podataka.

Uglavnom, sjedi, pet, prošao si malware test

[medo]

Vrijeme ti je da počneš koristiti neki od sandbox alata da ti se takve stvari ne rašire po kompu.

[Colop]

Citiraj:

Autor medo

Vrijeme ti je da počneš koristiti neki od sandbox alata da ti se takve stvari ne rašire po kompu.

A jebga, prvi put u 25 godina da sam skoro dobio virus.
Koji od tih sandbox alata da koristim.

Poslano sa mog SM-N770F koristeći Tapatalk

[kopija]

Windows ima integrirani sandbox, samo ga moraš uključit.
Ili digneš virtualku, easy-peasy.

[Colop]

Ok, ali kakva je korist od toga protiv virusa kojeg sam ja skoro pokupio:





Contains medium sleeps (>= 30s)

Contains capabilities to detect virtual machines

Contains long sleeps (>= 3 min)

May sleep (evasive loops) to hinder dynamic analysis

[Colop]

Evo, poskenirao sva računala sa AVIROM boot usb, jer Kaspersky mi nije htio loadati GUI, tj loadao je ali bi nakon toga blokirao.


U svakom slučaju, računala u mreži su čista, barem po AVIRI.
Na mom računalu je pronađeno 107 virusa , pa sam maltene pao u nesvijest dok nisam vidio da se svi virusi nalaze u outlook.pst fileu, dakle spam mailovi sa virusima.
Dakle, očekivano najčešći vektor širenja virusa je e-mail.


Pouka svima je da su phising mailovi postali jako jako dobri.
Računala koristim od 1996 godine, i ovo je prvi put da sam skoro klikao gdje ne smijem.

Ovaj konkretan virus je netko iz HRV prilagodio za naše tržište, i savršeno tempirao.
SPAM T com e-račun je stigao dan prije pravog T com računa.

Pričao sam i sa ljudima iz e-računa, rekli su mi da znaju za taj phising, i targetirana je točno jedna djelatnost.


Anyways, backup glavu čuva, dakle uložite u NAS,eksterni disk i C2 backup u oblaku, i trebalo bi biti dobro.




Backup glavu čuva, nadam