при подписке на рассылку
gift_icon
17.01.19
14202 9 Печатать

Будьте уважні! Спостерігається розсилка електронних листів з вірусом-шифрувальником

Нові поширення шифрувальника Troldesh/Shade

Впродовж 14-15.01.2019 спостерігалася масова розсилка електронних листів з шифрувальником Troldesh/Shade. Наведемо приклади таких листів:

Добрый день! Отправляю подробности заказа. Документ во вложении

Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75

або

Добрый день! Отправляю подробности заказа. Документ во вложении

Ковалёв Артем

Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75

або

Добрый день! Отправляю подробности заказа. Документ во вложении

Копылов Кирилл
Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75

Листи аналогічні за змістом, але з різними прізвищами, містять прикріплений архівний файл “info.zip”, з архівом з такою ж назвою, тобто подвійний. У подвійному архіві знаходиться джава скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.

Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->“info.zip”->"inf.zip"->“Информация.js”.

Результати виконання інших варіантів однаковий, різниця полягає у використанні різних алгоритмів шифрування, які використовуються при кодуванні назви файлів і даних, та інформації, яка передається контрольному серверу.

Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.

В результаті шифрування шифровані файли мають розширення “.{ідентифікатор користувача}.crypted000007”,

а в кожній директорії з кодованими файлами створюється файл readme з наступним змістом:

Після завершення шифрування відкривається повідомлення російською та англійською мовами.

Рекомендації:

Рекомендації щодо попередження загрози:

  • необхідно робити просту перевірку перед відкриттям вкладень у повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше));

  • вимкнути шифрування, якщо воно дозволено;

  • використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;

  • регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом;

  • обережно використовувати спільні папки, встановлювати права доступу з метою обмеження запису в них та періодично перевіряти їх антивірусною програмою;

  • обмежити можливість запуску виконуваних файлів (*.exe, *jar, *.js) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;

  • періодично сканувати змінні диски (USB), які підключаються до важливих систем, а по можливості заборонити використання сторонніх носіїв:

  • заблокувати доступ до доменів, вказаних у пункті декодованих адрес, та до адрес контрольних серверів.

По материалам CERT-UA
Отключить рекламу
Комментарии
  • Яся
17.01.19 18:56

Дякую за інфу

Ответить
    Оценить
  • 5
  • 0
  • @@@
17.01.19 21:30

я сегодня получил 

  Я перерахувала вказану суму на ваш рахунок, як ми і домовлялися
Так що можете розпочинати
Копія платіжки в прикріпленому файлі (пароль на архів -123)
Ще раз вибачте за затримку
З повагою, бухгалтер Олена Соколова

Ответить
    Оценить
  • 0
  • 0
  • Ксенія
18.01.19 08:21

Мені два рази приходили такі листи за ці дні. Перший раз  здуру хотіла відкрити , то дякую гарному антивірусу , він заблокував мої дурні діі. А другий раз в спам відправила. 

Ответить
    Оценить
  • 1
  • 0
  • Тормоз
18.01.19 09:14

Ксенія, який у Вас антивірус?

Ответить
    Оценить
  • 0
  • 0
  • Ксенія
20.01.19 14:40

Тормоз, якщо чесно ,то не знаю назви, оранжева квітка, бо я комп не настроювала, все це робить комп‘юторщик.

Ответить
    Оценить
  • 0
  • 0
  • SHADOW
18.01.19 09:10

а у меня все незнакомые адресаты в спам(на сервере) отправляются автоматом.
а вечером я уже смотрю, что туда попало

Ответить
    Оценить
  • 2
  • 0
  • Ігор
18.01.19 10:16

Не треба висилати вкладенням. Достатньо скопіювати (Ctrl+C), а потім вставити в лист (Ctrl+V). Так і час не втрачається - одразу видно зміст і не треба створювати файл та прикріпляти його до листа і отримувачу теж простіше. Наприклад: треба переслати платіжку - натиснути "форма для друку" - скопіювати -  вставити - навіть печатка та підпис банку зберігаються.
Якщо треба роздрукувати то просто виділити-скопіювати-вставити у Ворд-роздрукувати.
Або хоча б не завантажувати, а натискати "Перегляд", все і так можна побачити.

Ответить
    Оценить
  • 0
  • 1
  • vb
18.01.19 12:55

Уже в течении нескольких лет по несколько писем в неделю/месяц такие письма приходят. Автоматом в спам и удаление. Сменил бы адрес, но много на нем завязано

Ответить
    Оценить
  • 1
  • 0
  • Ольга
18.01.19 16:35

И мне пришло с этого адреса Цветков <leiber@praxxis.info>

Добрый день!



Отправляю подробности заказа. Документ во вложении


_______
Цветков Иван


Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75

Ответить
    Оценить
  • 0
  • 0
Контекстная реклама
Календарь бухгалтера
Пн Вт Ср Чт Пт Сб Вс
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28
Приложение