Jučer nam se javilo više čitatelja Narod.hr-a koji su primili lažnu obavijest o ovrsi o kojoj je Fina u petak izvijestila javnost.
Radi se o e-mailu koji stiže sa fina.online domene koji tvrdi da je na vašem računu pokrenuta ovrha i daje link na „PDF“ datoteku. Ta datoteka sadrži tzv. ransomware koji vam oduzima pristup vašim podacima na računalu – dok ne uplatiti neku svotu. U ovom slučaju lopovi od vas traže 2000 EURA-a za vraćanje vaših podataka sa računala – a svota se svakim danom udvostručava.
E-mail koji građani dobivaju na svoj račun izgleda ovako:
— — — — Izvorna poruka — — — —
Šalje: “FINA.hr” <tomislav.horvat@fina.online>
Datum: 15.12.2017. 12:31 (GMT+01:00)
Naslov: Elektronička obavijest o pokretanju ovršnog postupka
Poštovani,
temeljem članka 3. Ovršnog zakona (NN 112/12, 25/13, 93/14, 55/16,
73/17), točka 6., obavještavamo Vas o pokrenutnom ovršnom postupku.
Prijedlog ovrhovoditelja možete preuzeti putem sljedeće poveznice:
Click to access uklonjeno-zbog-sigurnosti.pdf
Napominjemo da možete, sukladno članku 162. Ovršnog zakona, točna 2.,
nakon što primite rješenje o ovrsi, predložiti odgodu ovrhe iz razloga
navedenih u članku 65. Zakona. O prijedlogu za odgodu ovrhe podnesenom u
roku za žalbu protiv rješenja o ovrsi sud će odlučiti u roku od 8 dana
i, ako prihvati taj prijedlog, rješenje o odgodi odmah dostaviti Agenciji
u pisanom otpravku, a u slučaju potrebe priopćiti i telefaksom,
elektroničkom poštom ili na drugi pogodan način.
Srdačan pozdrav
Tomislav Horvat
FINA — Financijska agencija
Sektor financijskih i elektroničkih usluga
Ovršni odjel
Ulica grada Vukovara 70, 10 000 Zagreb
tel 01 6127 016
fax 01 6127 021
tomislav.horvat@fina.hr
www.fina.hr
Donosimo ovdje objašnjenje koje je Igor Rinkovec, uspješni i višestruko nagrađivani student FOI-a iz Varaždina objavio na svojoj stranici medium.com o tome kako funkcionira ransomware:
Dobiveni email potrebno je odmah obrisati.
Zaraza se odvija putem linka u e-mailu koji otvara preuzimanje PDF-a ukoliko koristite podržani OS. PDF će se preuzeti samo na desktop verziji Windows operativnog sustava te će na mobilnim telefonima i ostalim platformama prikazati greške da koristite nepodržani uređaj.
Funkcija malicioznog koda
Ključ za kriptiranje se preuzima s https://www.fina.online/ovr/a.php nakon pokretanja te se podatci kriptiraju.
Nakon kriptiranja, pojavljuje se klasična ransomware poruka koja daje upute o plaćanju otkupnine od 2000 EUR putem Bitcoina na sljedeću adresu: 13srq1SP93mEs7asR2UxWBUts3x9oUcuac Na sreću još nema uplata na tu adresu što znaći da napadač nije uspješno zaradio ni lipe. Naravno, to ne znači da ne postoje ljudi koji su već zaraženi.
Reakcija
Domena je hostana na namecheap.com (naravno iza WhoisGuard) te je prijavljeno njeno maliciozno korištenje njihovoj abuse službi.
Sam payload je hostan na Dropboxu (bravo Godra genije) te je isti i tamo reportan kao maliciozni kod što bi trebalo spriječiti daljnje zaraze nad već poslanim mailovima čim se ukloni na neko vrijeme dok Godra ne updatea svoj state-of-the-art web. Za to vrijeme se nadam da će i Namecheap reagirati i ukloniti maliciozni web u potpunosti, napisao je Igor Rinkovec.
