SPAM Monthly Invoice

Znany również jako: Emotet i IcedID (trojan)
Dystrybucja: Niska
Poziom zniszczenia: Silny

Poradnik usuwania wirusa Monthly Invoice

Czym jest Monthly Invoice?

Odkryta przez badacza ds. bezpieczeństwa malware, Brad, "Monthly Invoice" to kampania spamu e-mailowego, używana do promowania trojanów Emotet i IcedID. Zwodnicze wiadomości e-mail zawierają komunikat informujący, że użytkownicy otrzymali fakturę i zachęcający do odwiedzenia podanego adresu URL. Otwarta strona natychmiast uruchamia pobieranie dokumentu MS Office. Te dokumenty e-mail zostały zaprojektowane w celu potajemnego pobierania i instalowania wyżej wymienionych koni trojańskich.

Złośliwe pobieranie uruchamia się zaraz po kliknięciu linku:

Monthly Invoice malware

Użytkownicy otrzymują wiadomość, że faktura musi zostać natychmiast zapłacona. Aby otrzymać wskazany adres e-mail, użytkownicy powinni natychmiast odwiedzić podany adres URL. Zauważ, że w przeciwieństwie do innych kampanii spamowych, "Monthly Invoice" nie używa identycznego e-maila. Zamiast tego używa różnych wiadomości, które są napisane w wielu językach (w czasie badań odkryliśmy angielskie i niemieckie e-maile). Niemniej jednak, pamiętaj, że wszystko to jest kompletnym oszustwem. Po pierwsze, warto wspomnieć, że cyberprzestępcy stale zapisują różne domeny i adresy e-mail, które zawierają nazwy legalnych firm (dzięki temu zwodnicze wiadomości e-mail wyglądają jeszcze lepiej - użytkownicy, którzy mieli do czynienia z takimi firmami, łatwo wpadają w pułapkę pobrania i otworzenia szkodliwych załączników). Jak wspomniano powyżej, kampania "Monthly Invoice" używa różnych komunikatów i dlatego też używane są różne adresy e-mail, nazwy firm i adresy URL. Tak czy inaczej, efekt jest dokładnie taki sam - otwarcie złośliwych załączników powoduje infekcję trojanami Emotet i IcedID. Wirusy te mają na celu zapisywanie danych osobowych (np. loginów/haseł, informacji bankowych itp.). Cyberprzestępcy następnie niewłaściwie wykorzystują otrzymane informacje w celu generowania przychodów (przelewów pieniężnych, kradzieży tożsamości itp.). W związku z tym obecność wirusów typu trojańskiego może prowadzić do znacznych strat finansowych i poważnych problemów prywatności. Niestety manualne wykrycie obecności trojanów jest praktycznie niemożliwe - te wirusy są zaprojektowane tak, aby bardzo dobrze ukrywać swoje ślady. Jednak większość renomowanego oprogramowania antywirusowego/antyspyware jest w stanie wykryć i usunąć takie wirusy. Dlatego też, jeśli otworzyłeś złośliwe załączniki MS Office, powinieneś natychmiast wykonać pełne skanowanie systemu i usunąć wszystkie zagrożenia.

Podsumowanie zagrożenia:
NazwaEmotet i IcedID (trojan)
Typ zagrożeniaPhishing, oszustwo, inżynieria społeczna
ObjawyNieautoryzowane zakupy internetowe, zmienione hasła do kont internetowych, kradzież tożsamości, nielegalny dostęp do czyjegoś komputera.
Metody dystrybucjiZwodnicze e-maile, złośliwe internetowe reklamy pop-up, techniki zatruwania wyszukiwarek, domeny z błędnie napisanymi nazwami.
ZniszczenieUtrata wrażliwych prywatnych informacji, straty finansowe, kradzież tożsamości.
Usuwanie

Aby wyeliminować Emotet i IcedID (trojan), nasi badacze malware zalecają przeskanowanie twojego komputera Spyhunter.
▼ Pobierz Spyhunter
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby usunąć malware, musisz zakupić pełną wersję Spyhunter.

Istnieje wiele koni trojańskich, które są podobne do Emotet i IcedID. TrickBot, Pony, Adwind - to tylko kilka przykładów z długiej listy. Większość z nich jest również dystrybuowana przy użyciu różnych kampanii spamowych. Zachowanie jest również bardzo podobne - prawie każdy z nich zbiera dane osobowe. Jednak niektóre trojany są również używane do dystrybuowania innych wirusów, takich jak ransomware. W ten sposób wirusy typu trojańskie stanowią bezpośrednie zagrożenie dla prywatności użytkownika i bezpieczeństwa przeglądania Internetu.

W jaki sposób Monthly Invoice został zainstalowany na moim komputerze?

Monthly Invoice dystrybuuje złośliwe dokumenty MS Office (Word, Excel itp.). Po otwarciu pliki zachęcają użytkowników do włączenia poleceń makr. W przeciwnym razie treść nie zostanie poprawnie wyświetlona. Po włączeniu makr załączniki natychmiastowo uruchamiają skrypty, które potajemnie pobierają i instalują trojany Emotet i IcedID. Co ciekawe, złośliwe skrypty zostaną uruchomione tylko wtedy, gdy załączniki zostaną otwarte za pomocą MS Office. Innymi słowy, jeśli plik zostanie otworzony przy użyciu innej aplikacji potrafiącej odczytać takie formaty, malware nie zostanie pobrane/zainstalowane.

Jak uniknąć instalacji malware?

Aby temu zapobiec, użytkownicy muszą zachować szczególną ostrożność podczas przeglądania Internetu. Pamiętaj, że istnieją dziesiątki kampanii spamowych, które dystrybuują malware. Z tego powodu, zawsze pomyśl dwa razy przed otwarciem załączników wiadomości e-mail - pliki, które wydają się nieistotne i/lub zostały wysłane z podejrzanych/nierozpoznawalnych adresów e-mail, nigdy nie powinny być otwierane. Takie e-maile powinny być natychmiast usuwane, nawet bez czytania. Warto również zauważyć, że wersja 2010 i nowsze wersje MS Office są opracowane tak, aby otwierać pobrane dokumenty w "Trybie chronionym". Innymi słowy, pliki są otwierane w formacie tylko do odczytu, co zapobiega uruchamianiu makropoleceń. Starsze wersje nie mają tej funkcji, dlatego używanie ich jest raczej niebezpieczne. Fałszywe oprogramowanie jest dystrybuowane również za pomocą fałszywych aktualizacji oprogramowania i metody marketingowej o nazwie "sprzedaż wiązana" (podstępnej instalacji PUP wraz z normalnym oprogramowaniem). Bardzo ważne jest aktualizowanie zainstalowanych aplikacji. Aby to osiągnąć, użytkownicy powinni jednak korzystać wyłącznie z wbudowanych funkcji lub narzędzi dostarczanych przez oficjalnego programistę. Ta sama zasada dotyczy pobierania oprogramowania. Zdecydowanie zalecamy, aby unikać korzystania z zewnętrznych programów pobierania/instalacji, ponieważ deweloperzy zarabiają na nich, promując nieuczciwe programy. Zamiast tego pobieraj oprogramowanie wyłącznie z oficjalnych źródeł, korzystając z bezpośrednich linków do pobierania. Koniecznością jest posiadanie zainstalowanego i uruchomionego legalnego narzędzia antywirusowego/antyspyware. Kluczem do bezpieczeństwa komputera jest ostrożność. Jeśli już otworzyłeś załącznik „Monthly Invoice", zalecamy wykonanie skanowania za pomocą narzędzia Spyhunter aby automatycznie wyeliminować infiltrowane złośliwe oprogramowanie.

Złośliwe załączniki rozpowszechniane za pośrednictwem kampanii spamowej „Monthly Invoice":

Malicious attachment distributed through Monthly Invoice spam campaign

Przykłady wiadomości e-mail dystrybuowanych za pomocą kampanii spamowej "Monthly Invoice":

Od: Christoph Wenzelmann
Temat: Rechnungsanschrift korrigiert 00044499
Din der Anlage sende ich Ihnen den unterzeichneten Vertrag.Die Rechnung wird zur Zahlung vorbereitet und ist unter dem folgenden Link bar.
hxxp://sportsohio.pbd-dev.com/

------------------------------------------------------

Od Francine Case
Temat: HRI Monthly Invoice
Oto faktura
hxxp://alauddintakeaway.com/
Dziękujemy,
Francine Case

------------------------------------------------------

Od: TaiwanCS
Temat: Zbliża się termin zapłaty faktury TaiwanCS

W załączniku znajduje się twoja miesięczna faktura dla HRI. Uwaga: ta informacja służy wyłącznie do celów informacyjnych. Karty kredytowe/płatności ACH będą automatycznie obciążane 25. dnia miesiąca . Wszystkie inne płatności muszą zostać zrealizowane do 25. dnia miesiąca. Dziękujemy i życzymy miłego tygodnia.
hxxp://flows.mobi/
TaiwanCS



------------------------------------------------------

Od: [email protected]
Temat: ABCQP5-78965721675
W załączniku znajduje się faktura do celów informacyjnych.
hxxp://energy-utama.com/

Ta wiadomość jest poufna i/lub zawiera prawnie uprzywilejowane informacje. Jest ona przeznaczona wyłącznie dla adresatów.

Pozdrowienia
[email protected]



------------------------------------------------------

Od: khsons
Temat: Rechnungszahlung
Guten Tag,
Din der Anlage sende ich Ihnen den unterzeichneten Vertrag.Die Rechnung wird zur Zahlung vorbereitet und ist unter dem folgenden Link bar.
hxxp://www.lifecitypark.com/
Mit den besten
khsons

------------------------------------------------------

Od: [email protected]
Temat: Ostateczne konto
W załączeniu przesyłamy twoją fakturę(y)
hxxp://pondok-kue.com/

Ta korespondencja i wszelkie przesyłane z nią pliki są poufne i przeznaczone wyłącznie do użytku adresatów, do których są adresowane.

Z poważaniem,
[email protected]



------------------------------------------------------

Od: [email protected]
Temat: Invoice 0879070
W załączniku przesyłamy fakturę.
hxxp://www.dehneshin.com/
[email protected]

------------------------------------------------------

Od: [email protected]
Temat: Konto nr 64859
W załączniku przesyłamy dokument.
hxxp://itblogs-bd.com/
Z poważaniem,
[email protected]

------------------------------------------------------

Od: KM James Street 4112
Temat: Płatność

Twoja faktura jest dostępna pod poniższym linkiem. Prosimy o dokonanie płatności tak szybko, jak to możliwe.
hxxp://azami-mm.com/
Dziękujemy,
KM James Street 4112
Telefon: 281-152-0837 Wew. 92 Faks: 281-858-1820



------------------------------------------------------
Od: [email protected]
Temat: Faktura 8123038
Oto faktura.
hxxp://www.sandearth.com/
Z poważaniem,
[email protected]
Biuro: 503.864.5896 Faks: 503 635-4082

Natychmiastowe automatyczne usunięcie Emotet i IcedID (trojan): Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Emotet i IcedID (trojan). Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak manualnie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić wykonać to automatycznie programom antywirusowym lub antymalware. W celu usunięcia malware zalecamy użycie  Spyhunter. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

malicious process running on user's computer sample

Jeśli sprawdziłeś listę programów uruchomionych na swoim komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać następujące kroki:

manual malware removal step 1 Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje plików systemowych:

screenshot of autoruns application

manual malware removal step 2Uruchom ponownie swój komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Uzytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

 

manual malware removal step 3Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.

extract autoruns.zip and run autoruns.exe

manual malware removal step 4W aplikacji Autoruns kliknij u góry "Opcje" i odznacz "Ukryj puste lokalizacje" i "Ukryj wpisy Windows". Po tej procedurze kliknij ikonę "Odśwież".

Click 'Options' at the top and uncheck 'Hide Empty Locations' and 'Hide Windows Entries' options

manual malware removal step 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.

Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij jego nazwę prawym przyciskiem myszy i wybierz "Usuń"

locate the malware file you want to remove

Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę malware na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery Jeśli znajdziesz plik malware, upewnij się, aby go usunąć.

searching for malware file on your computer

Uruchom ponownie swój komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że manualne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i antymalware. Te kroki mogą nie sprawdzić się w przypadku zaawansowanych infekcji malware. Zawsze lepiej jest uniknąć infekcji niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.

Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą programu Spyhunter.

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Instrukcje usuwania w innych językach
Kod QR
Emotet i IcedID (trojan) kod QR
Kod QR (Quick Response Code) to odczytywalny maszynowo kod, który przechowuje adresy URL oraz inne informacje. Kod ten może być odczytywany za pomocą kamery w smartfonie lub tablecie. Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Emotet i IcedID (trojan) na swoim urządzeniu mobilnym.
Polecamy:

Pozbądź się Emotet i IcedID (trojan) dzisiaj:

▼ USUŃ TO TERAZ za pomocą Spyhunter

Platforma: Windows

Ocena redaktora dla Spyhunter:
Wybitny!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter.