В Україні та світі продовжується поширення шифрувальника #Scarab через масові розсилки фішингових електронних листів російською чи українською мовами (можливо з помилками).
Приклад листа:
“Добрый День!
Не получается связаться с вами по телефону.
Повторно направляю вчерашний акт сверки.”
Лист має прикріплений архів “Копия 1.gz” , який містить виконувальний файл “Копия 1.scr” (С/С++, ехе), при активації якого шифруються файли з метою отримання викупу для їх відновлення.
При запуску “Копия 1.scr” створюється процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) та окремий інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy). Після видалення процесу VSSVC.EXE починається видимий етап шифрування файлів, які не є виконувальними та створення окремих текстових файлів (з повідомленням про шифрування) у кожній директорії з зашифрованими файлами.
Зашифровані файли мають кодовану назву та розширення “.crypted034”.
Зауважимо, що для видалення копій файлів, які використовуються для відновлення системи, запускається системний процес vsadmin.exe.
При завершенні кодування файлів відкривається вікно, у якому вимагають криптовалюту для відновлення файлів.
Індикатори компрометації:
Файлова система:
md5 28585ca46c91c1f2bbc8b250c37405a1 ./Копия 1.gz
https://www.virustotal.com/#/file/9eaa19d8947960914f54feabad11f006055f6cc732bdb67f37a123c30abb7ea5/detection
md5 d777f7e024749579dc84abe718b7b8f2 ./Копия 1.scr.
https://www.virustotal.com/#/file/187494087f21f2130e8d4db03828a41a2743046a8d7674c69b0efb94656d7b1c/detection
Використовуються системні програми:
"C:\Windows\System32\mshta.exe"
"C:\Windows\System32\vssadmin.exe"
"C:\Windows\System32\VSSVC.exe"
Постійність у системі (Persistens):
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\{RANDOM}\
прописується "C:\Windows\System32\mshta.exe"
Електронні адреси:
xcv786@india.com
xcv786@tutanova.com
Реєстр:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
HKCU\Software\Microsoft\Windows\CurrentVersion\HomeGroup\UIStatusCache
HKCU\Software\{RANDOM}\temp
%AppData% \sevnz.exe
Процеси:
sevnz.exe
mshta.exe
VSSVC.EXE
Рекомендації щодо попередження загрози: