 На прошедшей неделе, а также 26.09.2015г. и 27.09 2015г. с адреса info@delta.ru (или примерно похожих) в школы поступают письма от ООО Стройтех или других организаций (примерное содержимое письма представлено ниже). Содержание письма меняется!!! (новые договора, и т.д.)
ОБРАТИТЕ ВНИМАНИЕ!!! НЕ открывайте приложенные файлы. Данный вирус-шифровальщик (Legion-2) в течение 1-3 минут шифрует содержимое всех файлов Office на компьютере (doc, docx, xls, xlsx и т.д.) путем замены содержимого исходного файла, что делает процедуру восстановления простыми способами практически невозможной (восстановление файлов возможно лишь при включенной заранее функции "Теневого копирования" в Windows)
Способ восстановления информации на Windows 7 Pro (большинство систем в ОУ) с включенной функцией "Восстановления системы" и включенной функцией записи теневых копий файлов представлен ниже...
Содержимое письма присланного Нам:
Здравствуйте! Уважаемые коллеги!
Здравствуйте,
Нам прокуратура прислала письмо с требованием предоставить все договора с Вашим предприятием.
Не знаю, что они там "копают", но думаю, Вам будет интересно ознакомиться (запрос в приложении).
Ответьте, все ли нормально, и можем ли мы им показывать все контракты
Благодарим Вас!!
С Уважением!
Главный менеджер ООО Стройтех
Сапсонова Ирина
Проложения(2)
1)Запрос из прокуратуры.rar
2)Акт сверки.rar
Заголовок письма, присланного Нам: (Обратите внимание на название используемого внутреннего почтового сервера):
Return-Path: info@delta.ru
Return-Path: admin@web-serv.kgu.adm
Received: from [109.70.25.151] (HELO mx01.nicmail.ru)
by fcgp01.nicmail.ru (CommuniGate Pro SMTP 5.2.3)
with ESMTP id 375447598 for email@sovedu.ru; Sun, 27 Sep 2015 23:26:07 +0300
X-Blacklisted-By: cbl.abuseat.org
Received: from [89.22.254.55] (port=8630 helo=web-serv.kgu.adm)
by mx01.nicmail.ru with esmtp (Exim 5.55)
(envelope-from admin@web-serv.kgu.adm)
id 1ZgIWN-000Q0p-QR
for email@sovedu.ru; Sun, 27 Sep 2015 23:26:07 +0300
Received: from admin by web-serv.kgu.adm with local (Exim 4.82)
(envelope-from admin@web-serv.kgu.adm)
id 1ZgILc-00099Q-DV
for email@sovedu.ru; Sun, 27 Sep 2015 23:15:00 +0300
To: email@sovedu.ru
Subject: =?windows-1251?B?z/Du4uXw6uA=?=
X-PHP-Originating-Script: 1001:config.php
Message-ID: <1FE57286984C62D10D0841FF4B6ADDE7@stwga>
From: "info@delta.ru" info@delta.ru
Date: Sun, 27 Sep 2015 22:15:00 +0200
Organization: info@delta.ru
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_2553_01D0F971.F350BDC0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3538.513
Received-SPF: none
Новое письмо, присланное Нам 09.10.2015 года:
Уважаемые коллеги! Здравствуйте! Доводим до Вашего сведения, что в нашей компании 10.09.2015 произошла смена Генерального директора, во вложении высылаем Вам новый договор, который необходимо подписать в кротчайшие сроки и прислать его к нам в офис с оригинальной подписью и печатью Спасибо за понимание! C Уважением Главный Бухгалтер ООО Аква Дюмина Александра Приложения(2) 1)Договор.rar
2)Приложение к договору.rar
Заголовок письма от 09.10.2015г., присланного Нам:
Return-Path: <info@nimba.ru>
Return-Path: <shopwazobia@198-154-236-150.ipage.com>
Received: from [109.70.25.128] (HELO mx01.nicmail.ru)
by fcgp07.nicmail.ru (CommuniGate Pro SMTP 5.2.3)
with ESMTP id 242797274 for email@sovedu.ru; Fri, 09 Oct 2015 06:33:27 +0300
Received: from [198.154.236.150] (port=54598 helo=mail.shopwazobia.info)
by mx01.nicmail.ru with esmtp (Exim 5.55)
(envelope-from <shopwazobia@198-154-236-150.ipage.com>)
id 1ZkOQw-00028K-Qs
for email@sovedu.ru; Fri, 09 Oct 2015 06:33:27 +0300
Received: from shopwazobia by 198-154-236-150.ipage.com with local (Exim 4.85)
(envelope-from <shopwazobia@198-154-236-150.ipage.com>)
id 1Zgaqo-0003Ng-AV
for email@sovedu.ru; Mon, 28 Sep 2015 16:00:26 +0000
To: email@sovedu.ru
Subject: =?windows-1251?B?ze7i++kg5O7j7uLu8A==?=
X-PHP-Script: shopwazobia.info/wp-includes/js/config.php for 83.136.95.82
Message-ID: <A65CCB3F21F5DB68B4B1F846F26C4ABE@mbtymhq>
From: "info@stroyservice.ru" <info@nimba.ru>
Date: Mon, 28 Sep 2015 18:00:27 +0200
Organization: info@tehnol.ru
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_1250_01D0FA17.8E40D630"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - mail.shopwazobia.info
X-AntiAbuse: Originator/Caller UID/GID - [500 500] / [47 12]
X-AntiAbuse: Sender Address Domain - 198-154-236-150.ipage.com
X-Get-Message-Sender-Via: mail.shopwazobia.info: authenticated_id: shopwazobia/only user confirmed/virtual account not confirmed
X-Source:
X-Source-Args:
X-Source-Dir:
Received-SPF: none
X-Spam-Rating: 84.55
| 
