В Україні та світі продовжується поширення шифрувальника #Scarab через масові розсилки фішингових електронних листів російською чи українською мовами (можливо з помилками).
Приклад листа:
«Добрый День!
Не получается связаться с вами по телефону.
Повторно направляю вчерашний акт сверки».
Лист має прикріплений архів «Копия 1.gz», який містить виконувальний файл “Копия 1.scr” (С/С++, ехе), при активації якого шифруються файли з метою отримання викупу для їх відновлення.
При запуску «Копия 1.scr» створюється процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) та окремий інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy). Після видалення процесу VSSVC.EXE починається видимий етап шифрування файлів, які не є виконувальними та створення окремих текстових файлів (з повідомленням про шифрування) у кожній директорії з зашифрованими файлами.
Зашифровані файли мають кодовану назву та розширення «.crypted034».
Зауважимо, що для видалення копій файлів, які використовуються для відновлення системи, запускається системний процес vsadmin.exe.
При завершенні кодування файлів відкривається вікно, у якому вимагають криптовалюту для відновлення файлів.
Індикатори компрометації:
Файлова система:
md5 28585ca46c91c1f2bbc8b250c37405a1 ./Копия 1.gz
https://www.virustotal.com/#/file/9eaa19d8947960914f54feabad11f006055f6cc732bdb67f37a123c30abb7ea5/detection
md5 d777f7e024749579dc84abe718b7b8f2 ./Копия 1.scr.
https://www.virustotal.com/#/file/187494087f21f2130e8d4db03828a41a2743046a8d7674c69b0efb94656d7b1c/detection
Використовуються системні програми:
"C:\Windows\System32\mshta.exe"
"C:\Windows\System32\vssadmin.exe"
"C:\Windows\System32\VSSVC.exe"
Постійність у системі (Persistens):
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\{RANDOM}\
прописується "C:\Windows\System32\mshta.exe"
Електронні адреси:
xcv786@india.com
xcv786@tutanova.com
Реєстр:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
HKCU\Software\Microsoft\Windows\CurrentVersion\HomeGroup\UIStatusCache
HKCU\Software\{RANDOM}\temp
%AppData% \sevnz.exe
Процеси:
sevnz.exe
mshta.exe
VSSVC.EXE
Рекомендації щодо попередження загрози:
- перед відкриттям вкладень у повідомленнях звертайте увагу на деталі (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше);
- вимкніть шифрування, якщо воно дозволено;
- обмежте можливість запуску виконуваних файлів (*.exe, *.jar *.scr *.bs) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
- періодично перевіряйте систему антивірусом та оновлюйте бази сигнатур;
- використовуйте ліцензійні операційні системи та інше програмне забезпечення; оскільки це дає можливість їх періодично оновлювати;
- регулярно здійснюйте резервне копіювання важливих файлів;
- оновлюйте паролі доступу до важливих систем.