Invoice Email SPAM

Znany również jako: Trojan TrickBot
Typ: Trojan
Dystrybucja: Niska
Poziom zniszczenia: Silny

Poradnik usuwania wirusa Invoice Email SPAM

Czym jest Invoice Email SPAM?

"Invoice Email SPAM" (znana również jako „Outstanding Invoice Email SPAM") to e-mailowa kampania spamowa używana do rozsyłania trojana wysokiego ryzyka o nazwie eFax, Important Documents IRS. Ma ona wiele podobieństw z wieloma innymi kampaniami spamowymi, takimi jak (na przykład) HM Revenue & Customs Outstanding Amount. Treść wiadomości „Invoice Email SPAM" może się różnić, mimo że dostarczona wiadomość jest zasadniczo identyczna: użytkownik rzekomo otrzymał fakturę (w załączniku MS Word) i musi ją zapłacić. Należy jednak pamiętać, że załączony plik jest złośliwy oraz przeznaczony do pobrania i zainstalowania złośliwego oprogramowania TrickBot.

Invoice Email SPAM malware

Jak wspomniano, wiadomość e-mail informuje, że płatności nie zostały dokonane i zachęca użytkowników do otwarcia załącznika MS Word, który zawiera fakturę. Jest to oszustwo. Cyberprzestępcy próbują nakłonić łatwowiernych użytkowników do otwarcia złośliwego pliku, który infekuje system. Treść e-maila w kampanii „Invoice Email SPAM" może się różnić, ponieważ cyberprzestępcy rejestrują różne domeny internetowe oraz adresy e-mail z nazwami legalnych firm i departamentów rządowych. Te adresy URL/e-mail są następnie wykorzystywane do wysyłania spamu - łatwiej jest sprawiać wrażenie bycia uzasadnionymi, gdy nadawca jest znany użytkownikowi. Należy pamiętać, że TrickBot to malware wysokiego ryzyka. Porywa przeglądarki internetowe i zbiera różne loginy/hasła. Zebrane dane są przesyłane na zdalny serwer kontrolowany przez cyberprzestępców. Osoby te mogą otrzymywać poufne informacje (np. przestępcy mogą uzyskać dostęp do sieci społecznościowych użytkowników, kont bankowych itp.). Obecność tego malware może prowadzić do znacznych strat finansowych, a nawet kradzieży tożsamości. Dlatego śledzenie danych może prowadzić do poważnych problemów prywatności, a nawet kradzieży tożsamości. Jeśli otworzyłeś e-maile/załączniki należące do kampanii spamowej "Invoice Email SPAM", powinieneś natychmiast przeskanować system renomowanym oprogramowaniem antywirusowym/antyspyware i usunąć wszystkie wykryte zagrożenia.

Podsumowanie zagrożenia:
Nazwa Trojan TrickBot
Typ zagrożenia Trojan, wirus kradnący hasła, malware bankowe, spyware
Objawy Trojany są zaprojektowane, aby podstępnie infiltrować komputer ofiary i pozostawać cichymi, w wyniku czego na zainfekowanej maszynie nie ma jasno widocznych objawów.
Metody dystrybucji Zainfekowane załączniki e-mail, złośliwe ogłoszenia internetowe, inzynieria społeczna, narzędzia "łamania" oprogramowania.
Zniszczenie Skradzione informacje bankowe, hasła, kradzież tożsamości, komputer ofiary dodany do botnetu.
Usuwanie

Aby wyeliminować Trojan TrickBot, nasi badacze malware zalecają przeskanowanie twojego komputera Malwarebytes.
▼ Pobierz Malwarebytes
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Malwarebytes. Dostępny jest 14-dniowy bezpłatny okres próbny.

TrickBot jest praktycznie identyczny z dziesiątkami innych wirusów trojańskich, takich jak Pony, Adwind, FormBook i wiele innych. Podobnie jak w przypadku TrickBot, wirusy te są również dystrybuowane za pomocą kampanii spamowych. Poza tym ich zachowanie też jest bardzo podobne - wszystkie zbierają dane. Niektóre trojany są również zaprojektowane do dystrybuowania innych wirusów (zwykle ransomware). Dlatego te wirusy stanowią bezpośrednie zagrożenie dla prywatności i bezpieczeństwa przeglądania Internetu.

Jak Invoice Email SPAM zainfekowała mój komputer?

Wiadomość "Invoice Email SPAM" jest wysyłana wraz ze złośliwymi załącznikami MS Word prezentowanymi jako faktury. Po otwarciu tych plików użytkownicy proszeni są o włączenie makropoleceń. W przeciwnym razie zawartość nie będzie poprawnie wyświetlana. W ten sposób użytkownicy udzielają jednak załącznikom pozwolenia na uruchamianie skryptów, które potajemnie pobierają/instalują złośliwe oprogramowanie. Pamiętaj, że zadziała to tylko wtedy, gdy załącznik zostanie otwarty za pomocą programu MS Word. Jeśli plik zostanie otwarty przy użyciu innego oprogramowania obsługującego te formaty, skrypty nie zostaną wykonane. Co więcej, malware atakuje wyłącznie system operacyjny Windows, a zatem użytkownicy korzystający z innych platform są bezpieczni.

Jak uniknąć instalacji malware?

Głównymi przyczynami infekcji komputerowych są niewielka wiedza i nieostrożne zachowanie. Dlatego zwracaj szczególną uwagę podczas przeglądania Internetu. Zastanów się dwa razy, zanim otworzysz załączniki do e-maila. Jeśli plik wydaje się nieistotny lub został odebrany z podejrzaną/nierozpoznawalną wiadomością, nigdy nie należy go otwierać - te wiadomości należy usunąć bez czytania. Ponadto niektóre trojany są dystrybuowane przy użyciu metody „sprzedaży wiązanej" (podstępnej instalacji nieuczciwych aplikacji wraz ze zwykłym oprogramowaniem) oraz fałszywych aktualizatorów. Dlatego zachowaj ostrożność podczas pobierania/instalowania/aktualizowania oprogramowania. Dokładnie przeanalizuj każde okno dialogowe pobierania/instalacji i zrezygnuj ze wszystkich dodatkowych programów. Twoje programy powinny być pobierane wyłącznie z oficjalnych źródeł, korzystając z bezpośrednich linków do pobierania. Ponadto na bieżąco aktualizuj zainstalowane aplikacje. Aby to osiągnąć, używaj wbudowanych funkcji lub narzędzi dostarczonych wyłącznie przez oficjalnego programistę. Zdecydowanie zalecamy również zainstalowanie i uruchomienie legalnego oprogramowania antywirusowego/antyspyware. Nowsze wersje (2010 i nowsze) MS Office otwierają nowo pobrane pliki w „Trybie chronionym", zapobiegając w ten sposób pobieraniu/instalowaniu malware przez złośliwe załączniki. Dlatego zdecydowanie odradza się używanie starych wersji. Kluczem do bezpieczeństwa komputera jest ostrożność. Jeśli już otworzyłeś załącznik „Invoice Email SPAM", zalecamy wykonanie skanowania za pomocą Malwarebytes, aby automatycznie usunąć obecne malware.

Przykłady wiadomości prezentowanych w różnych wiadomościach e-mail "Invoice Email SPAM":

Subject: RE: Outstanding INVOICE BIA/066250/5423
The invoices came to us very late. Both are enclosed in attachement.
hxxp://www.perezdearceycia.cl/
[email protected]

 

------------------------------------------------------


Subject: INCORRECT INVOICE
We are waiting for the confirmation from your side so that we can send you the Invoice & Credit card link to process the payment and start the services. If you have any queries, please feel free to contact us. We hope for a positive reply.
hxxp://cqfsbj.cn/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
[email protected]

 

------------------------------------------------------

 

Subject: Outstanding INVOICE XOJR/7763411/6403
We have not received payment or an update on when the overdue invoices will be paid. Our payment terms are strictly 30 days. Please let me know when these invoices will be paid. Please see below the list of overdue invoices:
hxxp://minami.com.tw/
Regards
Priyanka Kapadia

 

------------------------------------------------------


Subject: Outstanding INVOICE FQOVN/2773110/730
Please see below the list of overdue invoices, of which 223.00 euro is due since last month. Can you please advise when payment will be made.
hxxp://www.legionofboomfireworks.com/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Thanks
Kira Holden

 

------------------------------------------------------


Subject: Invoice Number 55057
Last one year we started to charge for CRB check. They pay us first and we apply for CRB. =0DI do not have invoices.
hxxp://www.caglarturizm.com.tr/
Kind Regards,
andy

 

------------------------------------------------------

Subject: Final Account
Please find attached your confirmation documents. What you need to do Urgently Print off, sign and scan/send back the full proposal form within 7 days
hxxp://www.jxprint.ru/
Many Thanks
CYNTHIA HARRY

Złośliwy załącznik dystrybuowany poprzez kampanię "Invoice Email SPAM":

Malicious attachment distributed through Invoice Email SPAM spam campaign

Natychmiastowe automatyczne usunięcie Trojan TrickBot: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Malwarebytes to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Trojan TrickBot. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Malwarebytes Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Malwarebytes. Dostępny jest 14-dniowy bezpłatny okres próbny. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak manualnie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Malwarebytes. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

malicious process running on user's computer sample

Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:

manual malware removal step 1 Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:

screenshot of autoruns application

manual malware removal step 2Uruchom ponownie swój komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk „Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w „Menu zaawansowanych opcji uruchamiania." Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij „Ustawienia uruchamiania." Kliknij przycisk „Uruchom ponownie". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij „5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane". W menu zaawansowanych opcji wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":

manual malware removal step 3Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.

extract autoruns.zip and run autoruns.exe

manual malware removal step 4W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".

Click 'Options' at the top and uncheck 'Hide Empty Locations' and 'Hide Windows Entries' options

manual malware removal step 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.

Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".

locate the malware file you want to remove

Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.

searching for malware file on your computer

Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.

Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Malwarebytes.

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Instrukcje usuwania w innych językach
Kod QR
Trojan TrickBot kod QR
Kod QR (Quick Response Code) to odczytywalny maszynowo kod, który przechowuje adresy URL oraz inne informacje. Kod ten może być odczytywany za pomocą kamery w smartfonie lub tablecie. Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Trojan TrickBot na swoim urządzeniu mobilnym.
Polecamy:

Pozbądź się Trojan TrickBot dzisiaj:

▼ USUŃ TO TERAZ za pomocą Malwarebytes

Platforma: Windows

Ocena redaktora dla Malwarebytes:
Wybitny!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Malwarebytes. Dostępny jest 14-dniowy bezpłatny okres próbny.