Інформація по темі "" | Публікації по тегу
18.01.19
4454 8
Друкувати
Обране

Будьте уважні! Спостерігається розсилка електронних листів з вірусом-шифрувальником

Нові поширення шифрувальника Troldesh/Shade

 

Впродовж 14-15.01.2019 спостерігалася масова розсилка електронних листів з шифрувальником Troldesh/Shade. Наведемо приклади таких листів:

Добрый день! Отправляю подробности заказа. Документ во вложении

Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75

або

Добрый день! Отправляю подробности заказа. Документ во вложении

Ковалёв Артем

Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75

або

Добрый день! Отправляю подробности заказа. Документ во вложении

Копылов Кирилл
Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75

Листи аналогічні за змістом, але з різними прізвищами, містять прикріплений архівний файл “info.zip”, з архівом з такою ж назвою, тобто подвійний. У подвійному архіві знаходиться джава скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.

Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->“info.zip”->"inf.zip"->“Информация.js”.

Результати виконання інших варіантів однаковий, різниця полягає у використанні різних алгоритмів шифрування, які використовуються при кодуванні назви файлів і даних, та інформації, яка передається контрольному серверу.

Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.

В результаті шифрування шифровані файли мають розширення “.{ідентифікатор користувача}.crypted000007”,

а в кожній директорії з кодованими файлами створюється файл readme з наступним змістом:

Після завершення шифрування відкривається повідомлення російською та англійською мовами.

Рекомендації:

Рекомендації щодо попередження загрози:

  • необхідно робити просту перевірку перед відкриттям вкладень у повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше));

  • вимкнути шифрування, якщо воно дозволено;

  • використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;

  • регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом;

  • обережно використовувати спільні папки, встановлювати права доступу з метою обмеження запису в них та періодично перевіряти їх антивірусною програмою;

  • обмежити можливість запуску виконуваних файлів (*.exe, *jar, *.js) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;

  • періодично сканувати змінні диски (USB), які підключаються до важливих систем, а по можливості заборонити використання сторонніх носіїв:

  • заблокувати доступ до доменів, вказаних у пункті декодованих адрес, та до адрес контрольних серверів.

 

CERT-UA

Помітили помилку? Виділіть її та натисніть Ctrl+Enter, щоб повідомити нас про це
Коментарі
8
Люда
18.01.2019
Схожий лист я відкрила у кінці березня 2016 року (тільки писали про заборгованість), зашифрувало всі файли ( навіть фото і музику). А оскільки відкривала на компі на роботі, бо лист прийшов на пошту установи, то мала багато проблем із подачею звітності (перевстановлювала всі програми), та і взагалі майже все потрібно було починати "з нуля". Добре, що на флешці була частина документів.
Ольга
18.01.2019
Отримала такого листа від Ермакова, але ще не відкривала, Дякую Вам !
wes
18.01.2019
От с*ки.
Алла
18.01.2019
А в нас від Світлани Соколової
Гыгы Алла
18.01.2019
У Светки Соколовой день рождение, ей сегодня 30 лет
Інна Алла
18.01.2019
Накладні від Світлани Соколової, бухгалтера
татьяна
21.01.2019
у меня от олени соколовой.
**я перерахувла вказану суму на вш рахунок ,як і домовлялися**
неоткрівала,то что видно в строке.
капец просто.
Марина
21.01.2019
Отримала від Кудряшов Николай
Залишити коментар:
Для того, щоб роздрукувати текст необхідно авторизуватись або зареєструватись
Дякуємо, що читаєте нас Увійдіть і читайте далі