UWAGA – wiadomość nie pochodzi od GIODO!

Zespół CERT.GOV.PL w tygodniowym biuletynie za dni 30.06.2017-06.07.2017 informuje o kampanii phishingowej ukierunkowanej m. in. na administrację państwową oraz użytkowników prywatnych. Potwierdza to nasze ostrzeżenia przed otwieraniem podejrzanej korespondencji podszywającej się pod GIODO. Prosimy więc o zachowanie szczególnej ostrożności w sytuacji, kiedy otrzymacie Państwo taką podejrzaną wiadomość wysłaną z adresu przypominającego adres kancelarii GIODO – nadawcą wiadomości jest bowiem adres kanelaria@giodo.gov.pl.

Wskazana przez CERT.GOV.PL  przedmiotowa korespondencja dotyczy przesłanych drogą mailową załączników ze złośliwym skryptem. Rzekomym nadawcą wiadomości jest Generalny Inspektor Ochrony Danych Osobowych. W celu uwierzytelnienia się w oczach odbiorcy, nadawca wiadomości wykorzystuje prawdziwe dane kontaktowe oraz logo GIODO.
W wiadomości załączony jest plik vbs o nazwie „Powiadomienie o planowanej kontroli GIODO_PDF.vbs” (MD5: 849F71115FD8277E76259AC9452DAB5B). Z przedstawionych informacji wynika, iż skrypt łączy się z adresem http://adminex.nsupdate.info/1500/s500.exe. Proces ten ma na celu pobranie pliku s500.exe (MD5: 5254AD8A9634DA8E4B48CA18727CAA7E), który następnie zostaje uruchomiony pod nazwą „PostgreSQL”.
Na podstawie przeprowadzonej analizy pliku exe, Zespół CERT.GOV.PL informuje, iż program ma na celu szyfrowanie plików na dysku twardym.Do szyfrowania danych wykorzystywany jest algorytm Rijndael’a.

Zalecamy wraz z CERT.GOV.PL nie uruchamiać przesłanego drogą elektroniczną skryptu oraz niezwłocznie usunąć wiadomość.

 

Tomasz Soczyński