Головна Усі новини Держрегулювання Інше

Увага! Спостерігається масова розсилка електронних листів з шифрувальником Troldesh/Shade

Останніми днями подібна розсилка активізувалася і, оскільки злочинці часто видають себе за контрагентів суб'єктів господарювання, з нею може зустрітися кожен (зокрема, і бухгалтер). Щоб не потрапити у пастку, варто дотримуватися простих правил, які наводяться в цій статті

CERT-UA розповідає, що впродовж 14-15.01.2019 спостерігалася масова розсилка електронних листів з шифрувальником Troldesh/Shade. Наведемо приклади таких листів:

 «Добрый день! Отправляю подробности заказа. Документ во вложении. 

Тарасов Валерий

Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75»

або

«Добрый день! Отправляю подробности заказа. Документ во вложении

Ковалёв Артем

Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75»

або

«Добрый день! Отправляю подробности заказа. Документ во вложении

Копылов Кирилл

Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75»

Листи аналогічні за змістом, але з різними прізвищами, містять прикріплений архівний файл «info.zip», з архівом з такою ж назвою, тобто подвійний. У подвійному архіві знаходиться джава скрипт «Информация.js», який при виконанні завантажує файл «ssj.jpg» у тимчасову директорію.

Також помічено, що прикріплений архів «info.zip» може бути потрійним, тобто «info.zip» -> «info.zip» -> «inf.zip» -> «Информация.js».

Результати виконання інших варіантів однаковий, різниця полягає у використанні різних алгоритмів шифрування, які використовуються при кодуванні назви файлів і даних, та інформації, яка передається контрольному серверу.

Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.

В результаті шифрування шифровані файли мають розширення «.{ідентифікатор користувача}.crypted000007»,

а в кожній директорії з кодованими файлами створюється файл readme з наступним змістом:

Після завершення шифрування відкривається повідомлення російською та англійською мовами.

 

Рекомендації щодо попередження загрози:

  • необхідно робити просту перевірку перед відкриттям вкладень у повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше));
  • вимкнути шифрування, якщо воно дозволено;
  • використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;
  • регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом;
  • обережно використовувати спільні папки, встановлювати права доступу з метою обмеження запису в них та періодично перевіряти їх антивірусною програмою;
  • обмежити можливість запуску виконуваних файлів (*.exe, *jar, *.js) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
  • періодично сканувати змінні диски (USB), які підключаються до важливих систем, а по можливості заборонити використання сторонніх носіїв:
  • заблокувати доступ до доменів, вказаних у пункті декодованих адрес, та до адрес контрольних серверів.
Джерело
CERT-UA
Рубрика:
Держрегулювання / Інше
Теги:
Держпідприємства , Кібератака

Зверніть увагу: новинна стрічка «Дебету-Кредиту» містить не тільки редакційні матеріали, але також статті сторонніх авторів, роз'яснення співробітників фіскальної служби тощо.

Дані матеріали, а також коментарі до них, відображають виключно точку зору їх авторів і можуть не співпадати з точкою зору редакції.

Редакція не ідентифікує особи коментаторів, не модерує тексти коментарів та не несе відповідальності за їх зміст.

Коментарі: 0

Новини по темі

Консультації по темі

Хочете отримувати

найважливіші новини від «Дебету-Кредиту»?