UZMANĪBU! "VID vīruss"
Šodien Latvijā atkal tika masveidā izplatītas e-pasta vēstules, kas satur ar bīstamu datorvīrusu inficētu pielikumu un rada bankas datu izkrāpšanas un naudas līdzekļu nozagšanas risku. Tāpēc datoru lietotājiem ieteicams rūpīgi izvērtēt nepazīstamu adresātu vai aizdomīgus e-pastus, kā arī pārliecināties, ka dators ir aprīkots ar kādu no jaunākajām antivīrusu programmu versijām. Savukārt uzņēmumos ir svarīgi pareizi konfigurēt lietotāju darba stacijas.
Internetbanku lietotājus apdraudoši vīrusi, to paveidi un dažādas versijas Latvijā tiek izplatītas kopš 2013.gada oktobra sākuma. Jaunākā vīrusa versija, kurā inficētās vēstules tekstā izmantota VID tematika, tika izplatīta šodien, 27.februārī, iepriekšējās - 11. un 20. februārī. Pēc izlaišanas vīruss turpina izplatīties vairākas dienas.
Lai pasargātu uzņēmumu datoru lietotājus no šī un līdzīgiem vīrusiem, jāveic pareiza darba staciju konfigurēšana, ierobežojot lietotāju tiesības saņemt, lejupielādēt un atvērt izpildāmus failus.
Atkarībā no iestatījumiem, antivīrusa programmatūra var aprobežoties ar brīdinājumu par iespējami inficētu failu, ko lietotājs var nepamanīt. Tāpēc ir būtiska pareiza lietotāju darba staciju konfigurēšana uzņēmumos.
Savukārt mājas lietotājiem, lai pasargātu datoru no inficēšanas, īpaša uzmanība jāpievērš e-pasta vēstulēm ar pielikumiem, kā arī jāizvērtē adresāti. Pirms pielikuma atvēršanas vēlams sazināties ar sūtītāju.
Inficēto vēstuļu apraksts
E-pasta vēstules ir līdzīgas pērn decembrī izplatītajām inficētajām viltus vēstulēm. Vēstuļu saturs maldinoši liek domāt, ka tām ir kāda saistība ar Valsts ieņēmumu dienestu.
Vēstules piemērs:
Inficētās vēstules nosaukuma (subject) varianti ir šādi:
"nodoklu dienestam",
"Sudziba nodoklu dienestam",
"Re:Sudziba nodoklu dienestam”
Savukārt, pati vēstule satur kādu no frāzēm:
"Labdien! Informacija par sudzibu nosutita nodoklu dienestam, nosutu
Jums kopiju, skatit pielikuma. Ref id:xz27dns94m",
"Labdien! Uzrakstiju sudzibu par Jums un Jusu gramatvedi nodoklu
dienestam, nosutu Jums kopiju Ref id:k65zl3ko90",
"Labdien! Uzrakstijam sudzibu uz jums par nodoklu nesamaksasanu ,
pielikuma sudzibas kopija Ref id:cnl65p8p8p",
"Labdien! Informacija par sudzibu nosutita nodoklu dienestam, nosutu
Jums kopiju, skatit pielikuma.".
Ref id:NNNNNN vērtība ir mainīga.
Vēstulei pievienots pielikums ar inficētu failu, kam izmantots paplašinājums .zip, kuru atarhivējot iegūstams .SCR tipa izpildāmais fails ar nosaukumu "nodokludienestam.scr” vai "sudziba.scr”. Pielikumos esošais fails satur datorvīrusu, kurš domāts tiešsaistes banku maksājumu pārtveršanai un modifikācijai.
Šī datorvīrusa versija vairs NEIZMANTO dubultos failu paplašinājumus!
Vēstules pielikuma nosaukumu piemēri:
"COMPLAINT.zip”,
"nodokludienestam.zip”,
"sudziba.zip”,
"COPY_OF_THE_COMPLAINT.zip” u. c.
Inficēšanās riskam pakļauti datori, kuri izmanto Windows operētājsistēmu. Viena no diezgan drošām inficēšanās pazīmēm ir pēkšņas problēmas ar latviešu burtu ievadi, jo vīrusa pievienotā klaviatūras pārtvērējprogramma traucē "mēmo” taustiņu (tildes vai apostrofa) darbību.
Lai pasargātu datoru no inficēšanās, CERT.LV aicina ignorēt e-pastus, kas satur šādu vai līdzīgu tekstu. Ja fails tomēr ir ticis atvērts un izmantotā antivīrusa programmatūra nav brīdinājusi par inficēšanās draudiem, jāpārtrauc darbs ar datoru un jādodas meklēt datorspeciālista palīdzība. Darbs ar datoru var tikt atsākts tikai pēc pārliecināšanās, ka vīruss un visas tā komponentes no datora ir iztīrītas.
Pēc datora iztīrīšanas jāveic visu to paroļu nomaiņa, kas tika lietotas uz inficētā datora.
Tehniskā informācija:
Datorvīruss komunikācijai izmanto P2P protokolu, tāpēc tam nav vienota kontroles un vadības centra. Sākotnējais vadības datoru saraksts iekļauts datorvīrusa failā, un 27.02.2014 ir:
133.236.98.115
61.38.200.5
85.100.41.9
115.126.143.176
60.244.81.6
119.172.162.34
118.237.62.27
86.185.39.241
207.251.45.31
81.149.88.233
50.179.168.36
70.66.226.202
172.245.217.122
124.102.71.137
27.54.110.77
206.205.226.130
1.240.64.211
184.56.203.9