Agencja CERT (Computer Emergency Response Team) Polska podała informację o powiadomieniu podszywającym się pod wezwanie od komornika sądowego. Jest to podstępna próba zainfekowania naszego komputera dropperami ransomware Petya i Misha. Poniżej treść komunikatu CERT.
W pierwszym tygodniu sierpnia trafiła do nas wiadomość podszywająca się pod zawiadomienie od komornika sądowego o następującej treści:
Nr sprawy EGZ/2035-TR/12C/08/2016 ZAWIADOMIENIE O WSZCZĘCIU EGZEKUCJI Komornik Sądowy przy Sądzie Rejonowym Poznań – Grunwald i Jeżyce w Poznaniu Piotr Tomaszewski zawiadamia o wszczęciu postępowania egzekucyjnego na wniosek wierzyciela: PKO Bank Polski Spółka Akcyjna ul. Puławska 15 02-515 Warszawa którego reprezentuje: Adwokat Agnieszka Marciniak ul. Grunwaldzka 519E/2, 62-064 Plewiska / Poznań Postępowanie egzekucyjne zostało wszczęte na podstawie tytułu wykonawczego: Nakaz zapłaty w postępowaniu upominawczym Sądu Rejonowego Poznań – Grunwald i Jeżyce w Poznaniu z dnia 13-07-2016, syg. akt VI Nc-e35886/EZ/16 zaopatrzone w klauzule wykonywalności z dnia 02-08-2016 w którym zasądzono od dłużnika na rzecz wierzyciela: należność główna: 46 832,61 zł odsetki do 02-08-2016: 1 257,95 zł W przypadku zwłoki również dalsze odsetki od dnia 03-08.2016 w wysokości 0,75 zł dziennie wraz z należną od nich opłatą egzekucyjną w wysokości 15% Koszt procesu: 840,00 zł Koszt zastępstwa adwokackiego w egzekucji: 150,00 zł Do każdej przekazywanej kwoty należy doliczyć opłatę stosunkową w wysokości 15% kwot przekazywanych oraz opłatę za przelew 0,35 zł. Do powyższych kwot dojdą dalsze koszty egzekucyjne wysokość których zostanie ustalona w miarę dokonywania czynności. W celu uniknięcia dalszych kosztów należy wpłacić całą egzekwowaną należność łącznie z kosztami na konto komornika: Bank Polska Kasa Opieki S.A. I/Oddział Poznań 50 1240 1747 1111 0010 2730 9341 Lub bezpośrednio w kancelarii mieszczącej się: ul. Józefa Chociszewskiego 21/6, 60-255 Poznań Wierzyciel wskazał we wniosku następujące sposoby egzekucji: – rachunków bankowych – nieruchomości – ruchomości – inne wierzytelności Pobierz oryginał sądowego nakazu zapłaty: VINc-e35886EZ16.pdf Pobierz oryginał zawiadomienia o wszczęciu postępowania egzekucyjnego: EGZ2035-TR12C082016.pdf W korespondencji oraz przy wpłatach podać sygnaturę EGZ/2035-TR/12C/08/2016 Komornik Sądowy Piotr Tomaszewski Pouczenie: Jeżeli podstawę egzekucji stanowi tytuł wykonawczy w postaci zaopatrzonego w klauzulę wykonalności nakazu zapłaty wydanego w elektronicznym postępowaniu upominawczym, komornik poucza dłużnika o treści art. 139 § 1 i 5, art. 168, art. 172, art. 820 § 1 i2 art. 825 pkt 2, a także o treści art. 505 (art. 805 § 1 k.p.c.)
Scenariusz jest oczywisty – mail zawiera załącznik z rzekomymi dokumentami dotyczącymi sprawy opisanej powyżej. Jest to archiwum ZIP, dla uwiarygodnienia umieszczone pod domeną podszywającą się pod kancelarię prawniczą z Poznania. Archiwum zawiera plik o nazwie VINc-e35886EZ16-pdf.pif. Na dzień pisania posta plik jest rozpoznawany tylko przez 7/58 silników antywirusowych w serwisie VirusTotal.
Jak widać w dalszym ciągu jest wykorzystywana sztuczka z rozszerzeniem .pif, charakterystyczna dla kampanii tego aktora. Jedną z poprzednich opisywaliśmy pod koniec 2014 roku.
Rzekome dokumenty w formacie PDF są dropperem ransomware o nazwach Petya oraz Mischa.
Więcej szczegółów na stronie CERT.