Come rimuovere il virus Invoice email?
Scitto da Tomas Meskauskas il (aggiornato)
Cos'è il virus Invoice Email?
"Invoice Email Virus" (consciuto anche come "Outstanding Invoice Email Virus") è una campagna di spam utilizzata per diffondere un trojan ad alto rischio chiamato TrickBot. Questa campagna condivide molte somiglianze con una serie di altre campagne di spam, come (ad esempio), eFax, Important Documents IRS, e specialmente HM Revenue & Customs Outstanding Amount.
Il testo all'interno di queste email potrebbe essere diverso, anche se il messaggio consegnato è essenzialmente identico: l'utente ha presumibilmente ricevuto una fattura (tramite un allegato MS Word) e deve pagare. Tieni presente, tuttavia, che il file allegato è dannoso e progettato per scaricare e installare malware TrickBot.
Il virus Invoice email in dettaglio
Come accennato, i messaggi di posta elettronica indicano che i pagamenti non sono stati inviati e incoraggiano gli utenti ad aprire l'allegato MS Word, che contiene una fattura. Questa è una truffa. I criminali informatici tentano di indurre gli utenti creduloni ad aprire un file dannoso che infetta il sistema.
Il testo nelle e-mail della campagna "Invoice Email Virus" può variare, poiché i criminali informatici registrano vari domini Web e indirizzi e-mail con i nomi di società legittime e dipartimenti governativi. Questi URL/indirizzi e-mail vengono quindi utilizzati per inviare spam: è più facile dare l'impressione di legittimità quando il mittente è familiare all'utente.
Tieni presente che TrickBot è un malware ad alto rischio. Dirotta i browser Web e raccoglie vari accessi/password. I dati raccolti vengono inviati a un server remoto controllato da criminali informatici. Queste persone possono ricevere informazioni sensibili (ad esempio, i criminali potrebbero accedere ai social network, ai conti bancari e così via degli utenti).
La presenza di questo malware può portare a perdite finanziarie significative o addirittura al furto di identità. Pertanto, il tracciamento dei dati potrebbe portare a gravi problemi di privacy o persino al furto di identità.
Se hai aperto e-mail/allegati che appartengono a una campagna di spam "Invoice Email Virus", dovresti immediatamente scansionare il sistema con una suite antivirus/anti-spyware affidabile e rimuovere tutte le minacce rilevate.
| Nome | TrickBot trojan |
| Tipo di minaccia | Trojan, virus che ruba password, malware bancario, spyware |
| Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere in silenzio, quindi nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
| Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, crack software. |
| Danni | Informazioni bancarie rubate, password, furto di identità, computer della vittima aggiunto a una botnet. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Somiglianze con altri Trojan
TrickBot è praticamente identico a dozzine di altri virus di tipo trojan, come Pony, Adwind, FormBook, e molti altri. Come con TrickBot, anche questi virus vengono distribuiti tramite campagne di spam. Inoltre, anche il loro comportamento è molto simile: tutti raccolgono dati.
Alcuni trojan sono progettati anche per distribuire altri virus (in genere, ransomware). Pertanto, questi virus rappresentano una minaccia diretta per la tua privacy e la sicurezza della navigazione in Internet.
Come ha fatto Invoice Email virus ad infettare il mio computer?
"Invoice Email virus" viene fornito con allegati MS Word dannosi presentati come fatture. Dopo aver aperto questi file, agli utenti viene chiesto di abilitare i comandi macro, altrimenti il contenuto non verrà visualizzato correttamente. In tal modo, tuttavia, gli utenti concedono l'autorizzazione agli allegati per eseguire script che scaricano/installano di nascosto malware.
Tieni presente che funzionerà solo se l'allegato viene aperto utilizzando il programma MS Word. Se il file viene aperto utilizzando un altro software in grado di leggere questi formati, gli script non verranno eseguiti. Inoltre, il malware prende di mira solo il sistema operativo Windows e, quindi, gli utenti che eseguono altre piattaforme sono al sicuro.
Come evitare l'installazione di malware?
Le ragioni principali delle infezioni del computer sono la scarsa conoscenza e il comportamento negligente. Pertanto, prestare molta attenzione durante la navigazione in Internet. Pensaci due volte prima di aprire gli allegati di posta elettronica. Se il file sembra irrilevante o è stato ricevuto da un'e-mail sospetta/irriconoscibile, non dovrebbe mai essere aperto: queste e-mail dovrebbero essere eliminate senza essere lette.
Inoltre, alcuni trojan vengono distribuiti utilizzando il metodo "bundling" (installazione invisibile di app non autorizzate insieme a software normale) e falsi aggiornamenti. Pertanto, prestare attenzione durante il download/installazione/aggiornamento del software. Analizza attentamente ogni finestra delle finestre di dialogo di download/installazione e disattiva tutti i programmi inclusi.
I tuoi programmi devono essere scaricati solo da fonti ufficiali, utilizzando i collegamenti per il download diretto. Inoltre, mantieni aggiornate le applicazioni installate. Per raggiungere questo obiettivo, utilizza le funzionalità o gli strumenti implementati forniti solo dallo sviluppatore ufficiale. Ti consigliamo inoltre di avere una suite antivirus/antispyware legittima installata e funzionante.
Versioni più recenti (2010 e successive) di MS Office aprono i file appena scaricati in "Modalità protetta", impedendo così agli allegati dannosi di scaricare/installare malware. Pertanto, si consiglia vivamente di evitare l'uso di versioni precedenti. La chiave per la sicurezza del computer è la cautela.
Se hai già aperto l'allegato dannoso, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Esempi di messaggi presentati in diverse varianti di questi messaggi di posta elettronica dannosi:
Subject: RE: Outstanding INVOICE BIA/066250/5423
The invoices came to us very late. Both are enclosed in attachement.
hxxp://www.perezdearceycia.cl/
alexa.ballantine@gmail.com
------------------------------------------------------
Subject: INCORRECT INVOICE
We are waiting for the confirmation from your side so that we can send you the Invoice & Credit card link to process the payment and start the services. If you have any queries, please feel free to contact us. We hope for a positive reply.
hxxp://cqfsbj.cn/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Jamacapq@sbcglobal.net
------------------------------------------------------
Subject: Outstanding INVOICE XOJR/7763411/6403
We have not received payment or an update on when the overdue invoices will be paid. Our payment terms are strictly 30 days. Please let me know when these invoices will be paid. Please see below the list of overdue invoices:
hxxp://minami.com.tw/
Regards
Priyanka Kapadia
------------------------------------------------------
Subject: Outstanding INVOICE FQOVN/2773110/730
Please see below the list of overdue invoices, of which 223.00 euro is due since last month. Can you please advise when payment will be made.
hxxp://www.legionofboomfireworks.com/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Thanks
Kira Holden
------------------------------------------------------
Subject: Invoice Number 55057
Last one year we started to charge for CRB check. They pay us first and we apply for CRB. =0DI do not have invoices.
hxxp://www.caglarturizm.com.tr/
Kind Regards,
andy
------------------------------------------------------
Subject: Final Account
Please find attached your confirmation documents. What you need to do Urgently Print off, sign and scan/send back the full proposal form within 7 days
hxxp://www.jxprint.ru/
Many Thanks
CYNTHIA HARRY
Allegato dannoso distribuito tramite la campagna "Invoice Email SPAM":
Esempio di un'altra email di spam a tema fattura consegnata in lingua portoghese:
Testo presentato all'interno:
Subject: Estimado Cliente Pingo Doce - Segue em anexo a sua Fatura Eletronica. - ( 685809856280 )
Prezado (a) atendimento@pcrisk.pt ,
Segue em anexo a sua Fatura Eletronica.
Anexo: NFe-311502664715151006891154.PDF
Envio automatico, Favor nao Responder
Atenciosamente,
DPC Pingo Doce
Lisboa, Portugal 21 380 8520
Este email foi escaneado pelo Avast antivirus.
www.avast.com16/09/2020 09:41:16
Un'altra email di spam a tema fattura utilizzata per diffondere un documento MS Excel dannoso:
Testo presentato all'interno:
Subject: Invoice 523389
Invoice Due:11/02/2020
523389 Amount Due: $1,860.00Dear Customer:
Your PAST DUE invoice is attached. Please remit payment at your earliest convenience
Thank you for your business - we appreciate it very much.
Sincerely,
Accounts Payable
Screenshot del documento MS Excel dannoso allegato:
Esempio di un'altra email di spam a tema fattura utilizzata per diffondere un documento MS Excel dannoso che inietta malware Dridex nel sistema:
Testo presentato all'interno:
Subject: Electronic Invoice (#00332731)
Per your request, here is the invoice you have asked to be sent via email. If you have any questions, please feel free to call us at 800-485-1863
Screenshot del documento MS Excel allegato:
Ancora un'altra email di spam a tema fattura utilizzata per diffondere un file .IMG dannoso (i collegamenti all'interno portano al download di tale file):
Testo presentato all'interno:
Subject: INV-209734564
Good Day
Please see attached Invoice.
For any other concern, please inform me.
Thanks.
Best Regards,
Ellen Maralit
Procurement Specialist
Sodexo On-Site Services, Inc.
Tel: (2) 499-4356
Mobile: 9167781908
pdf.gif Invoice .pdf
194K View as HTML Scan and download
Disclaimer and Confidentiality
This e-mail, attachments included, is confidential. It is intended solely for the addressees. If you are not an intended recipient, any use, copy or diffusion, even partial of this message is prohibited. Please delete it and notify the sender immediately. Since the integrity of this message cannot be guaranteed on the Internet, SODEXO cannot therefore be considered liable for its content.Ce message, pieces jointes incluses, est confidentiel. Il est etabli a l'attention exclusive de ses destinataires. Si vous n'etes pas un destinataire, toute utilisation, copie ou diffusion, meme partielle de ce message est interdite. Merci de le detruire et d'en avertir immediatement l'expediteur. L'integrite de ce message ne pouvant etre garantie sur Internet, SODEXO ne peut etre tenu responsable de son contenu.
Please consider the environment before printing this message.
Avast logo
This email has been checked for viruses by Avast antivirus software.
www.avast.com
Ancora un'altra email di spam a tema fattura utilizzata per diffondere un documento MS Excel dannoso che inietta malware Dridex nel sistema:
Testo presentato all'interno:
Subject: Invoice 093090
Invoice
Due:12/2/2020
093090
Amount Due: $1,940.00
Dear Customer:Your invoice-093090 for $1,940.00 is attached.
We accept cash, check or ACH transfer per this invoice with INTUIT.
If you wish to pay by credit card, please contact our office.
A processing fee of 3.5% will be added to this invoice amount. Please remit payment at your earliest convenience.Thank you for your business - we appreciate it very much.
Sincerely,
HEAD Office
919-36-0288
Screenshot del documento MS Excel allegato:
Ancora un'altra variante dell'email di spam a tema fattura:
Testo presentato all'interno:
Subject: Invoice 9170
Invoice Due:01/12/2021
9170
Amount Due: $1,440.00
Dear Customer:Your invoice is attached. Please remit payment at your earliest convenience.
There is a 3% credit/debit card processing fee for all transactions.
If wanting to pay by credit/debit card, please respond to this email or call our office and we will forward a link for on-line processing.Thank you for your business - we appreciate it very much.
808-245-4405
View & Pay Invoice
Una variante spagnola dell'email di spam a tema fattura che promuove un sito Web di phishing:
Testo presentato all'interno:
Subject: Factura
Estimado cliente,
Buen día
Se adjunta una factura. N -Descargar Factura
Gracias por su preferencia.
Saludos cordiales.
Ancora un altro esempio di e-mail di spam a tema fattura utilizzata per diffondere malware:
Testo presentato all'interno:
Subject: Reminder about Unpaid invoice LL015445
Good day,
Please find attached invoice LL015445.
According to our data, the above mentioned invoice is still unpaid.
Please let us know when the payment will be done.
AMITH BALRAMON BEHALF OF,
Announcement : This is to inform all our customers and partners that COVID-19 global pandemic situation has created severe disruptions in Airlines and Shipping Lines schedules, services and availability of space for timely loading. Please note that these disruptions can cause delay / cancellation of our planned schedule of shipment leading to additional cost being incurred on the shipment being charged by Airlines / Shipping Lines on case to case basis. Therefore, all our quotations shall be subject to variance due to these factors. We request your understanding and co-operation.Thanks & Regards,
Jovita Vas
Inside Sales-Importsales
jovita.vas@glweststardubai.com
+971 4 3974400
+971 43974666
+971 4 6098530www.glweststardubai.com
11th Floor, Fahidi Heights, Khalid Bin Al Waleed Street, Bur Dubai, PO. BOx 6027, Dubai, United Arab Emirates
All our business activities and business transactions are undertaken in accordance with the NAFL Standard Trading Conditions. The duties, responsibilities and liabilities of the company are subject to the provisions of the NAFL Standard Trading Conditions. A copy of NAFL Standard Trading Conditions can be furnished upon request.
This message contains confidential and/or privileged information. If you are not the intended addressee or authorized to receive this for the intended addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation.
Ancora un altro esempio di e-mail di spam a tema fattura che promuove un sito di phishing:
Testo presentato all'interno:
Subject: File "******** /Overdue Invoices- MARCH-JUNE21.pdf" has been shared with you on 7/22/2021 5:35:18 a.m.
A file has been shared with ********
forlogs.icu Q2 Overdue Invoices - JUNE21.pdf
******** Q2 Overdue Invoices - JUNE21.pdf
This link will work only for boss1
Open
Privacy Statement
Screenshot del sito di phishing promosso:
Ancora un altro esempio di un'e-mail di spam a tema fattura che diffonde un documento MS PowerPoint dannoso:
Testo presentato all'interno:
Subject: Re: Review Kindly
Good Day.
Please confirm the invoice of the ordered products before we initiate the transfer as attached.Also, we request you to send us your best price for the items on the attached file with data sheets.
Please indicate the below information as well.
1. Delivery Period
2. Warranty
3. Payment TermsAwaiting your immediate response in this regard.
Yours sincerely,
Mark Henry
Petro-Canada Lubricants Inc.
2310 Lakeshore Road West
Mississauga, Ontario, L5J 1K2
Canada.
Ancora un altro esempio di e-mail di spam a tema fattura che diffonde un documento MS Excel dannoso:
Testo presentato all'interno:
Subject: Invoice/Sales Receipt
Your sales receipt is attached. Your credit card on file has been charged.Thank you for your business - we appreciate it very much.
Sincerely,
------------------------- Sales Receipt Summary ---------------------------
Receipt # : 4479
Receipt Date: 10/13/2021
Total: $3,442.00The complete version has been provided as an attachment to this email.
----------------------------------------------------------------------
Screenshot del documento MS Excel dannoso distribuito:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu:
- Cos'è Invoice Email virus?
- STEP 1. Rimozione manuale di infezioni da malware.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner.
Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP e Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":
Windows 8:
Avvia Windows 8 è in modalità provvisoria con rete: vai alla schermata iniziale di Windows 8, digita Avanzate, nei risultati della ricerca seleziona Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.
Fare clic sul pulsante "Riavvia ora". Il computer si riavvierà ora nel "menu Opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".
Fare clic sul pulsante "Riavvia". Il tuo PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate".
Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
ideo che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrai l'archivio scaricato ed esegui il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controlla l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema.
Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.
Per essere sicuro che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
Domande Frequenti (FAQ)
Perché ho ricevuto questa email?
È probabile che i criminali informatici abbiano ottenuto il tuo indirizzo e-mail da un database di e-mail trapelate. Le e-mail utilizzate per inviare malware non sono personali.
Ho scaricato e aperto un file allegato a questa email, il mio computer è infetto?
I documenti di MS Office utilizzati in questa campagna di posta indesiderata non infettano i computer a meno che non ottengano l'autorizzazione per abilitare i comandi delle macro (modifica o contenuto). Tuttavia, i documenti dannosi aperti con versioni di MS Office rilasciate prima del 2010 infettano i computer senza chiedere l'autorizzazione per abilitare i comandi delle macro.
Ho letto l'e-mail ma non ho aperto l'allegato, il mio computer è infetto?
L'apertura di un'e-mail dannosa non può causare alcun danno. I computer vengono infettati solo quando i destinatari aprono/eseguono file dannosi (allegati o file scaricati da siti Web ricevuti).
Combo Cleaner rimuoverà le infezioni da malware presenti negli allegati di posta elettronica?
Sì, Combo Cleaner è in grado di rilevare e rimuovere quasi tutti i programmi dannosi conosciuti. Alcuni malware possono nascondersi in profondità nel sistema. In tali casi, il sistema operativo deve essere scansionato completamente.
Eccezionale!
▼ Mostra Discussione