при подписке на рассылку
gift_icon
27.12.18
15900 10 Печатать

Через електронні листи поширюється вірус-шифрувальник

В Україні та світі продовжується поширення шифрувальника #Scarab через масові розсилки фішингових електронних листів російською чи українською мовами (можливо з помилками).

Приклад листа:

 “Добрый День!

 Не получается связаться с вами по телефону.

Повторно направляю вчерашний акт сверки.

           Лист має прикріплений архів “Копия 1.gz” , який містить  виконувальний файл “Копия 1.scr” (С/С++, ехе), при активації якого шифруються файли з метою отримання викупу для їх відновлення.

           При запуску  “Копия 1.scr” створюється процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) та окремий  інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy). Після видалення процесу  VSSVC.EXE  починається видимий етап шифрування файлів, які не є виконувальними та створення окремих текстових файлів (з повідомленням про шифрування) у кожній директорії з зашифрованими файлами.

Зашифровані файли мають кодовану назву та розширення “.crypted034”.

 

 

 

          

Зауважимо, що для видалення копій файлів, які використовуються для відновлення системи, запускається системний процес vsadmin.exe.

При завершенні кодування файлів відкривається вікно, у якому вимагають криптовалюту для відновлення файлів.

 

   

Індикатори компрометації:

Файлова система:

md5 28585ca46c91c1f2bbc8b250c37405a1  ./Копия 1.gz

https://www.virustotal.com/#/file/9eaa19d8947960914f54feabad11f006055f6cc732bdb67f37a123c30abb7ea5/detection

md5 d777f7e024749579dc84abe718b7b8f2  ./Копия 1.scr.

https://www.virustotal.com/#/file/187494087f21f2130e8d4db03828a41a2743046a8d7674c69b0efb94656d7b1c/detection


Використовуються системні програми:

"C:\Windows\System32\mshta.exe"

"C:\Windows\System32\vssadmin.exe"

"C:\Windows\System32\VSSVC.exe"


Постійність у системі (Persistens):

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\{RANDOM}\

прописується "C:\Windows\System32\mshta.exe"


Електронні адреси:

xcv786@india.com

xcv786@tutanova.com


Реєстр:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

HKCU\Software\Microsoft\Windows\CurrentVersion\HomeGroup\UIStatusCache

HKCU\Software\{RANDOM}\temp 

%AppData% \sevnz.exe


Процеси:

sevnz.exe

mshta.exe

VSSVC.EXE

 

Рекомендації щодо попередження загрози:

  • перед відкриттям вкладень у повідомленнях звертайте увагу на деталі (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше);
  • вимкніть шифрування, якщо воно дозволено;
  • обмежте можливість запуску виконуваних файлів (*.exe, *.jar *.scr *.bs) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
  • періодично перевіряйте систему антивірусом та оновлюйте бази сигнатур;
  • використовуйте ліцензійні операційні системи та інше програмне забезпечення; оскільки це дає можливість їх періодично оновлювати;
  • регулярно здійснюйте резервне копіювання важливих файлів;
  • оновлюйте паролі доступу до важливих систем.

По материалам CERT-UA
Отключить рекламу
Комментарии
  • Тетяна
27.12.18 14:42

Куда обращаться за помощью?

Ответить
    Оценить
  • 5
  • 0
  • Юра Г.
28.12.18 00:43

Тетяна, Для начала отказаться от компьютера - как рассадника заразы.

Ответить
    Оценить
  • 12
  • 0
  • Ольга
27.12.18 22:33

Сьогодні прийшов аналогічний лист. : "Я вам сегодня заплатила. Можете приступать. Копия платежки во вложении." + архивный файл во вложении.  Відразу ж видалила лист.

Ответить
    Оценить
  • 4
  • 0
  • Татьяна
28.12.18 09:26

Ольга, мне вчера аналогичное пришло письмо, подписанное бухгалтером Соколовой Светой.

Ответить
    Оценить
  • 1
  • 0
  • Mariya A.
28.12.18 10:55

Татьяна, мне дирик уже два письма от этой Соколовой переслал ))) "Я Вам все оплатила, приступайте..." Слава Богу не повелась, сразу удалила.
Подленькие людишки, кто таким занимается (((

Ответить
    Оценить
  • 8
  • 0
  • Шурик
28.12.18 07:45

Открывайте всё в он-лайне на почтовом сервере, не загружая на комп.
Архивировать большинство типов файлов бесполезно, значит в архиве почты уже что-то не то.

Ответить
    Оценить
  • 0
  • 0
  • Татьяна
28.12.18 09:30

Шурик, а если я загрузила на комп архивный файл, но не открывала его, потом удалила из загрузок и корзины , проблема исчерпана?

Ответить
    Оценить
  • 0
  • 0
  • Людмила
28.12.18 09:25

я попалась капец

Ответить
    Оценить
  • 0
  • 2
  • Котяра
28.12.18 10:11

Любопытство губит кота.

Ответить
    Оценить
  • 2
  • 1
  • клава
28.12.18 12:27

Интересно, куда смотрит наша каберполиция. Или способны только предупреждать?

Ответить
    Оценить
  • 1
  • 0
Контекстная реклама
Календарь бухгалтера
Пн Вт Ср Чт Пт Сб Вс
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28
Приложение