Ових дана јавило нам се петнаестак клијената који су добили предрачуне и опомену пред утужење због неплаћених услуга. Ради се о клијентима који су већ обновили своје услуге и услуге су увелико активне о чему смо их одмах и упутили и умирили. Међутим, помислили смо да се ради о грешци са наше стране (систем послао предрачуне) или покушају преваре који погађа наше клијенте.

Од клијената смо затражили примерке мејлова са детаљима пошиљаоца како бисмо открили о чему се тачно ради. Одмах смо видели да су мејлови слати са office@adriadoo.com који није наш мејл и у име фирме која се зове Адриа ДОО. Ни један од ових података није наш па ни мејлови нису послати са наше стране и то је у реду сада. Све смо брзо проверили и утврдили да наши сервери нису компромитовани и да не постоји сигурносни пропуст са наше стране. Постало је јасно да се ради о PHISHING нападу.

Одмах смо утврдили и да је овај напад глобалан и да хиљаде људи у Србији и Репулици Српској добија овакве мејлове. Ево и обавештења које је поставило Одјељење за информациону безбједност – ЦЕРТ Републике Српске: ХИТНО – ОБАВЈЕШТЕЊЕ ОДЈЕЉЕЊА ЗА ИНФОРМАЦИОНУ БЕЗБЈЕДНОСТ – ЦЕРТ РЕПУБЛИКЕ СРПСКЕ поводом ширења „Spider“ ransomvera

Данас је објављена и комплетна анализа „Spider“ ransomvera-а од стране ЦЕРТ РС коју можете прочитати овде: Анализа „Spider“ ransomvera

Шта смо даље урадили по питању овог проблема?

Решили смо да пробамо да блокирамо пошаљиоца порука. Прво смо истражили ко је власник домена што се може видети у јавном WhoIS листингу уколико није укључена заштита:

С обзиром да се власник домена није јављао на телефон који је наведен у WhoIS подацима домена, пријавили смо злоупотребу домена регистрару где је домен регистрован, послали смо потребне доказе и убрзо је домен ушао у #clientHold статус што значи да је онемогућено даље коришћење домена док власник не контактира регистрар.

Контактирали смо и хостинг компанију у Америци која је хостовала мејл сервер одакле су се слали мејлови и пријавили Phishing. Добили смо повратну информација да је већ било пријава по овом питању и да је у току решавање проблема са власником, док су услуге суспендоване.

Овим смо зауставили дивљање Spider Ransomware-а са adriadoo.com, међутим ради се о привременом решењу. Малициозни власници овог домена сада могу закупити други хостинг и регистровати нови домен и наставити са ширењем Malspam-а.

Како да не будете жртва Malspam Spider Ransomware-а?

На првом месту и пре свега, најпре проверите ко шаље мејл који сте добили (проверите која адреса стоји у “From:” пољу). Никако немојте кликтати на линкове или преузимати фајлове док не проверите ко шаље мејл и да ли очекујете мејл по којем треба да платите одређене услуге.

Мејлове које вам ми шаљемо (Адриахост ДОО) могу доћи само са е-мејл адресе prodaja@adriahost.rs. Све мејлове по питању услуга које имате код нас, а који су дошли са других е-мејл адреса можете игнорисати.

Ево како изгледају поља мејла који добијате од нас, обратите пажњу на From поље:

и како је изгледао сумњиви мејл:

Ево и неколико савета о томе како да сазнате више о томе ко вам шаље мејлове: Осам начина да откријете ко вам шаље сумњиви е-мејл

Контактирајте нас уколико нисте сигурни какав сте мејл добили

Уколико добијете било какав мејл по питању ваших услуга у Адриахосту, а наводи се нека друга или фирма са сличним називом, тај мејл можете игнорисати. Уколико сте добили сумњиви мејл и нисте сигурни да ли је повезан са услугама које имате у Адриахост ДОО, можете нас контактирати преко наше контакт форме или отварањем тикета како бисмо заједно проверили да ли се ради о валидном мејлу. Пре тога немојте предузимати било какве кораке.