Como remover o vírus Invoice email?
Escrito por Tomas Meskauskas a (atualizado)
O que é o vírus Invoice Email?
O "Invoice Email Virus" (também conhecido como "Outstanding Invoice Email Virus") é uma campanha de malspam usada para proliferar um trojan de alto risco denominado TrickBot. Esta campanha partilha muitas semelhanças com várias outras campanhas de spam, como (por exemplo) eFax, Important Documents IRS, e especialmente HM Revenue & Customs Outstanding Amount.
O texto nestes emails pode ser diferente, embora a mensagem exibida seja essencialmente idêntica: o utilizador supostamente recebeu uma fatura (através de um anexo do MS Word) e deve pagar. Esteja ciente, no entanto, que o ficheiro anexado é malicioso e projetado para descarregar e instalar o malware TrickBot.
O vírus Invoice email em pormenor
Conforme mencionado, as mensagens de email informam que os pagamentos não foram enviados e encorajam os utilizadores a abrir o anexo do MS Word, que contém uma fatura. Isto é uma fraude. Os criminosos cibernéticos tentam enganar utilizadores crédulos para que abram um ficheiro malicioso que infecta o sistema.
O texto nos emails da campanha "Invoice Email Virus" pode variar, uma vez que os criminosos cibernéticos registam vários domínios da web e endereços de email com nomes de empresas legítimas e departamentos governamentais. Esses URLs/endereços de email são usados para enviar spam - é mais fácil dar a impressão de legitimidade quando o remetente é familiar ao utilizador.
Esteja ciente que o TrickBot é um malware de alto risco. sequestra navegadores da web e recolhe vários logins/palavras-passe. Os dados recolhidos são enviados a um servidor remoto controlado por criminosos cibernéticos. Essas pessoas podem receber informações confidenciais (por exemplo, criminosos podem obter acesso às redes sociais dos utilizadores, contas bancárias e assim por diante).
A presença deste malware pode conduzir a perdas financeiras significativas ou até mesmo roubo de identidade. Portanto, o rastreio de dados pode conduzir a sérios problemas de privacidade ou até mesmo ao roubo de identidade.
Se abriu emails/anexos que pertencem a uma campanha de spam "Invoice Email Virus", deve imediatamente fazer uma verificação no sistema com um antivírus/antispyware confiável e remover todas ameaças detectadas.
| Nome | trojan TrickBot |
| Tipo de Ameaça | Trojan, vírus de roubo de palavra-passe, malware de banco, spyware |
| Sintomas | Os trojans são projetados para infiltrar-se furtivamente no computador da vítima e permanecer silenciosos, portanto, nenhum sintoma específico é claramente visível na máquina infectada. |
| Métodos de Distribuição | Anexos de e-mail infectados, anúncios online maliciosos, engenharia social, crackings de software. |
| Danos | Informações bancárias roubadas, palavras-passe, roubo de identidade, computador da vítima adicionado a um botnet. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Semelhanças com outros Trojans
O TrickBot é virtualmente idêntico a dezenas de outros vírus do tipo trojan, como Pony, Adwind, FormBook, e muitos outros. Assim como o TrickBot, estes vírus também são distribuídos através de campanhas de spam. Além disso, o seu comportamento também é muito semelhante - todos recolhem dados.
Alguns trojans também são projetados para distribuir outros vírus (normalmente, ransomware). Portanto, estes vírus representam uma ameaça direta à sua privacidade e segurança de navegação na Internet.
Como é que o vírus Invoice Email infectou o meu computador?
O "Invoice Email virus" vem juntamente com anexos maliciosos do MS Word apresentados como faturas. Depois de abrir estes ficheiros, os utilizadores são pedidos a ativar os comandos de macro, caso contrário, o conteúdo não será exibido corretamente. Ao fazer isso, no entanto, os utilizadores concedem permissão para que os anexos executem scripts que descarregam/instalam malware furtivamente.
Note que isso só funcionará se o anexo for aberto ao usar o programa MS Word. Se o ficheiro for aberto por outro software capaz de ler estes formatos, os scripts não serão executados. Além disso, o malware visa apenas o sistema operativo Windows e, portanto, os utilizadores que executam outras plataformas estão seguros.
Como evitar a instalação de malware?
As principais razões para infecções de computador são pouco conhecimento e comportamento descuidado. Portanto, preste muita atenção ao navegar na Internet. Pense duas vezes antes de abrir anexos de email. Se o ficheiro parecer irrelevante ou tiver sido recebido de um email suspeito/irreconhecível, nunca deve ser aberto - estes emails devem ser excluídos sem serem lidos.
Além disso, alguns trojans são distribuídos ao usar o método de "agregação" (instalação furtiva de aplicações fraudulentas juntamente com software regular) e atualizadores falsos. Portanto, seja cauteloso ao descarregar/instalar/atualizar o software. Analise cuidadosamente cada janela dos diálogos de descarregamento/instalação e desative todos os programas incluídos adicionalmente.
Os seus programas devem ser descarregues apenas de fontes oficiais, ao usar links diretos para descarregamento. Além disso, mantenha as aplicações instaladas atualizadas. Para conseguir isso, use recursos implementados ou ferramentas fornecidas apenas pelo desenvolvedor oficial. Também recomendamos fortemente que tenha um pacote antivírus/anti-spyware legítimo instalado e em execução.
Versões mais recentes (2010 e posteriores) do MS Office abrem ficheiros descarregues recentemente no "Modo Protegido", evitando assim que anexos maliciosos descarreguem/instalem malware. Portanto, é altamente recomendável evitar o uso de versões antigas. A chave para a segurança do computador é o cuidado.
Se já abriu o anexo malicioso, recomendamos executar uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Exemplos de mensagens apresentadas em diferentes variantes dessas mensagens de email maliciosas:
Subject: RE: Outstanding INVOICE BIA/066250/5423
The invoices came to us very late. Both are enclosed in attachement.
hxxp://www.perezdearceycia.cl/
alexa.ballantine@gmail.com
------------------------------------------------------
Subject: INCORRECT INVOICE
We are waiting for the confirmation from your side so that we can send you the Invoice & Credit card link to process the payment and start the services. If you have any queries, please feel free to contact us. We hope for a positive reply.
hxxp://cqfsbj.cn/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Jamacapq@sbcglobal.net
------------------------------------------------------
Subject: Outstanding INVOICE XOJR/7763411/6403
We have not received payment or an update on when the overdue invoices will be paid. Our payment terms are strictly 30 days. Please let me know when these invoices will be paid. Please see below the list of overdue invoices:
hxxp://minami.com.tw/
Regards
Priyanka Kapadia
------------------------------------------------------
Subject: Outstanding INVOICE FQOVN/2773110/730
Please see below the list of overdue invoices, of which 223.00 euro is due since last month. Can you please advise when payment will be made.
hxxp://www.legionofboomfireworks.com/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Thanks
Kira Holden
------------------------------------------------------
Subject: Invoice Number 55057
Last one year we started to charge for CRB check. They pay us first and we apply for CRB. =0DI do not have invoices.
hxxp://www.caglarturizm.com.tr/
Kind Regards,
andy
------------------------------------------------------
Subject: Final Account
Please find attached your confirmation documents. What you need to do Urgently Print off, sign and scan/send back the full proposal form within 7 days
hxxp://www.jxprint.ru/
Many Thanks
CYNTHIA HARRY
Anexo malicioso distribuído através da campanha "Invoice Email SPAM":
Exemplo de outro email de spam com tema de fatura exibido em português:
Texto apresentado em:
Subject: Estimado Cliente Pingo Doce - Segue em anexo a sua Fatura Eletronica. - ( 685809856280 )
Prezado (a) atendimento@pcrisk.pt ,
Segue em anexo a sua Fatura Eletronica.
Anexo: NFe-311502664715151006891154.PDF
Envio automatico, Favor nao Responder
Atenciosamente,
DPC Pingo Doce
Lisboa, Portugal 21 380 8520
Este email foi escaneado pelo Avast antivirus.
www.avast.com16/09/2020 09:41:16
Outro email de spam com tema de fatura usado para distribuir um documento malicioso do MS Excel:
Texto apresentado em:
Subject: Invoice 523389
Invoice Due:11/02/2020
523389 Amount Due: $1,860.00Dear Customer:
Your PAST DUE invoice is attached. Please remit payment at your earliest convenience
Thank you for your business - we appreciate it very much.
Sincerely,
Accounts Payable
Screenshot do documento malicioso do MS Excel anexado:
Exemplo de outro email de spam com tema de fatura usado para distribuir um documento malicioso do MS Excel que injeta o malware Dridex no sistema:
Texto apresentado em:
Subject: Electronic Invoice (#00332731)
Per your request, here is the invoice you have asked to be sent via email. If you have any questions, please feel free to call us at 800-485-1863
Screenshot do documento MS Excel em anexo:
Mais um email de spam com tema de fatura usado para distribuir um ficheiro .IMG malicioso (os links conduzem ao descarregamento do referido ficheiro):
Texto apresentado em:
Subject: INV-209734564
Good Day
Please see attached Invoice.
For any other concern, please inform me.
Thanks.
Best Regards,
Ellen Maralit
Procurement Specialist
Sodexo On-Site Services, Inc.
Tel: (2) 499-4356
Mobile: 9167781908
pdf.gif Invoice .pdf
194K View as HTML Scan and download
Disclaimer and Confidentiality
This e-mail, attachments included, is confidential. It is intended solely for the addressees. If you are not an intended recipient, any use, copy or diffusion, even partial of this message is prohibited. Please delete it and notify the sender immediately. Since the integrity of this message cannot be guaranteed on the Internet, SODEXO cannot therefore be considered liable for its content.Ce message, pieces jointes incluses, est confidentiel. Il est etabli a l'attention exclusive de ses destinataires. Si vous n'etes pas un destinataire, toute utilisation, copie ou diffusion, meme partielle de ce message est interdite. Merci de le detruire et d'en avertir immediatement l'expediteur. L'integrite de ce message ne pouvant etre garantie sur Internet, SODEXO ne peut etre tenu responsable de son contenu.
Please consider the environment before printing this message.
Avast logo
This email has been checked for viruses by Avast antivirus software.
www.avast.com
Mais um email de spam com tema de fatura usado para distribuir um documento malicioso do MS Excel que injeta o malware Dridex no sistema:
Texto apresentado em:
Subject: Invoice 093090
Invoice
Due:12/2/2020
093090
Amount Due: $1,940.00
Dear Customer:Your invoice-093090 for $1,940.00 is attached.
We accept cash, check or ACH transfer per this invoice with INTUIT.
If you wish to pay by credit card, please contact our office.
A processing fee of 3.5% will be added to this invoice amount. Please remit payment at your earliest convenience.Thank you for your business - we appreciate it very much.
Sincerely,
HEAD Office
919-36-0288
Screenshot do documento MS Excel em anexo:
Mais uma variante do email de spam com tema invoice:
Texto apresentado em:
Subject: Invoice 9170
Invoice Due:01/12/2021
9170
Amount Due: $1,440.00
Dear Customer:Your invoice is attached. Please remit payment at your earliest convenience.
There is a 3% credit/debit card processing fee for all transactions.
If wanting to pay by credit/debit card, please respond to this email or call our office and we will forward a link for on-line processing.Thank you for your business - we appreciate it very much.
808-245-4405
View & Pay Invoice
Uma variante espanhola de email de spam com tema invoice que promove um site de phishing:
Texto apresentado em:
Subject: Factura
Estimado cliente,
Buen día
Se adjunta una factura. N -Descargar Factura
Gracias por su preferencia.
Saludos cordiales.
Mais um exemplo de email de spam com tema invoice usado para distribuir malware:
Texto apresentado em:
Subject: Reminder about Unpaid invoice LL015445
Good day,
Please find attached invoice LL015445.
According to our data, the above mentioned invoice is still unpaid.
Please let us know when the payment will be done.
AMITH BALRAMON BEHALF OF,
Announcement : This is to inform all our customers and partners that COVID-19 global pandemic situation has created severe disruptions in Airlines and Shipping Lines schedules, services and availability of space for timely loading. Please note that these disruptions can cause delay / cancellation of our planned schedule of shipment leading to additional cost being incurred on the shipment being charged by Airlines / Shipping Lines on case to case basis. Therefore, all our quotations shall be subject to variance due to these factors. We request your understanding and co-operation.Thanks & Regards,
Jovita Vas
Inside Sales-Importsales
jovita.vas@glweststardubai.com
+971 4 3974400
+971 43974666
+971 4 6098530www.glweststardubai.com
11th Floor, Fahidi Heights, Khalid Bin Al Waleed Street, Bur Dubai, PO. BOx 6027, Dubai, United Arab Emirates
All our business activities and business transactions are undertaken in accordance with the NAFL Standard Trading Conditions. The duties, responsibilities and liabilities of the company are subject to the provisions of the NAFL Standard Trading Conditions. A copy of NAFL Standard Trading Conditions can be furnished upon request.
This message contains confidential and/or privileged information. If you are not the intended addressee or authorized to receive this for the intended addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation.
Mais um exemplo de email de spam com tema invoice a promover um site de phishing:
Texto apresentado em:
Subject: File "******** /Overdue Invoices- MARCH-JUNE21.pdf" has been shared with you on 7/22/2021 5:35:18 a.m.
A file has been shared with ********
forlogs.icu Q2 Overdue Invoices - JUNE21.pdf
******** Q2 Overdue Invoices - JUNE21.pdf
This link will work only for boss1
Open
Privacy Statement
Screenshot do site de phishing promovido:
Mais um exemplo de email de spam com tema invoice a distribuir um documento malicioso do MS PowerPoint:
Texto apresentado em:
Subject: Re: Review Kindly
Good Day.
Please confirm the invoice of the ordered products before we initiate the transfer as attached.Also, we request you to send us your best price for the items on the attached file with data sheets.
Please indicate the below information as well.
1. Delivery Period
2. Warranty
3. Payment TermsAwaiting your immediate response in this regard.
Yours sincerely,
Mark Henry
Petro-Canada Lubricants Inc.
2310 Lakeshore Road West
Mississauga, Ontario, L5J 1K2
Canada.
Mais um exemplo de email de spam com tema invoice a distribuir um documento malicioso do MS Excel:
Texto apresentado em:
Subject: Invoice/Sales Receipt
Your sales receipt is attached. Your credit card on file has been charged.Thank you for your business - we appreciate it very much.
Sincerely,
------------------------- Sales Receipt Summary ---------------------------
Receipt # : 4479
Receipt Date: 10/13/2021
Total: $3,442.00The complete version has been provided as an attachment to this email.
----------------------------------------------------------------------
Screenshot do documento malicioso distribuído do MS Excel:
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é vírus Invoice Email virus?
- PASSO 1. Remoção manual de infecções por malware.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware, recomendamos o uso de Combo Cleaner.
Se deseja remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, a usar o gestor de tarefas e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregue um programa denominado Autoruns. Este programa mostra as aplicações de inicialização automática, o Registo e os locais do sistema de ficheiros:
Reinicie o computador no Modo de Segurança:
Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador, prima a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo de Segurança com Rede da lista.
O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":
Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançadas, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada.
Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização".
Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Prima F5 para iniciar no Modo de Segurança com Rede.
O vídeo demonstra como iniciar Windows 8 "Modo de Segurança com Rede"::
Utilizadores Windows 10: Clique no logótipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas".
No menu de opções avançadas, selecione "Configurações de Início" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operativo no Modo de Segurança com Rede.
O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":
Extraia o ficheiro descarregue e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Opções" na parte superior e desmarque as opções "Ocultar locais vazios" e "Ocultar entradas do Windows". Após este procedimento, clique no ícone "Atualizar"..
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.
Deve anotar o caminho completo e o nome. Note que alguns malwares ocultam os seus nomes de processos com nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover clique com o rato sobre o nome e escolha "Excluir".
Depois de remover o malware através da aplicação Autoruns (isso garante que o malware não seja executado automaticamente na próxima inicialização do sistema), deve procurar o nome malware no seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de o eliminar.
Inicie o seu computador no Modo de Segurança. Seguir estes passos deve ajudar a remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer capacidades avançadas de computação. Se não tiver essas capacidades, deixe a remoção de malware para programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, certifique-se de instalar as atualizações mais recentes do sistema operativo e de usar o software antivírus. Para garantir que o seu computador está livre de infecções por malware, recomendamos analisá-lo com Combo Cleaner.
Perguntas Frequentes (FAQ)
Por que recebi este email?
É provável que os criminosos cibernéticos tenham obtido seu endereço de email de algum base de dados de emails vazados. Emails usados para exibir malware não são pessoais.
Descarreguei e abri um ficheiro anexado a este e-mail. O meu computador está infectado?
Os documentos do MS Office usados nesta campanha de malspam não infectam computadores, a menos que obtenham permissão para ativar comandos de macros (edição ou conteúdo). Embora, documentos maliciosos abertos com versões do MS Office lançadas antes de 2010 infectem computadores sem pedir permissão para ativar comandos de macros.
Eu li o email, mas não abri o anexo, o meu computador está infectado?
Abrir um email malicioso não pode causar nenhum dano. Os computadores são infectados apenas quando os destinatários abrem/executam ficheiros maliciosos (anexos ou ficheiros descarregues de sites recebidos).
O Combo Cleaner vai remover as infecções por malware que estavam presentes no anexo do email?
Sim, o Combo Cleaner é capaz de detectar e remover quase todos os programas maliciosos conhecidos. Certos malware podem ocultar-se profundamente no sistema. Nestes casos, o sistema operativo deve ser totalmente verificado.
Excelente!
▼ Mostrar comentários