[необходимо зарегистрироваться для просмотра ссылки] Впродовж 14-15.01.2019 спостерігалася масова розсилка електронних листів з шифрувальником Troldesh/Shade. Наведемо приклади таких листів:
“
Добрый день! Отправляю подробности заказа. Документ во вложении Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
або
“
Добрый день! Отправляю подробности заказа. Документ во вложении Ковалёв Артем Менеджер. Публичное Акционерное Общество «БИНБАНК» (495) 755-50-75, 8 800 200-50-75”
або
“
Добрый день! Отправляю подробности заказа. Документ во вложении Копылов Кирилл
Менеджер. Публичное Акционерное Общество «БИНБАНК» (495) 755-50-75, 8 800 200-50-75”
Листи аналогічні за змістом, але з різними прізвищами, містять прикріплений архівний файл “info.zip”, з архівом з такою ж назвою, тобто подвійний. У подвійному архіві знаходиться джава скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.
Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->“info.zip”->"inf.zip"->“Информация.js”.
Результати виконання інших варіантів однаковий, різниця полягає у використанні різних алгоритмів шифрування, які використовуються при кодуванні назви файлів і даних, та інформації, яка передається контрольному серверу.
Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.
В результаті шифрування шифровані файли мають розширення “.{ідентифікатор користувача}.crypted000007”,
Рекомендації: Рекомендації щодо попередження загрози:
- необхідно робити просту перевірку перед відкриттям вкладень у повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше));
- вимкнути шифрування, якщо воно дозволено;
- використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;
- регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом;
- обережно використовувати спільні папки, встановлювати права доступу з метою обмеження запису в них та періодично перевіряти їх антивірусною програмою;
- обмежити можливість запуску виконуваних файлів (*.exe, *jar, *.js) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
- періодично сканувати змінні диски (USB), які підключаються до важливих систем, а по можливості заборонити використання сторонніх носіїв:
- заблокувати доступ до доменів, вказаних у пункті декодованих адрес, та до адрес контрольних серверів.
По материалам: [необходимо зарегистрироваться для просмотра ссылки]