В уанете обнаружили malware-кампанию, нацеленную на частных предпринимателей
Украинские предприниматели стали целевой аудиторией кибермошенников. В течение последней недели на электронные адреса как частных предпринимателей, так и государственных учреждений начали поступать сообщения якобы от Государственной фискальной службы Украины. В них содержится вирус-шифровальщик, а за разблокировку файлов на компьютере мошенники требуют выкуп в размере $300-500 (иногда больше $1000).
О необычной malware-кампании сообщили в пресс-службе Киберполиции. Злоумышленники осуществляют подмену адреса отправителя на адрес в зоне .gov.ua, чтобы получатель думал, будто письмо отправлено из госучреждения. В письме содержится ссылка на якобы счет для уплаты налогов.
На самом деле, ссылка ведет на один из взломанных сайтов, которые находятся под управлением CMS Joomla или WordPress, по которому загружается ZIP-архив. В архиве находится обфускованный JavaScript-код, который при выполнении создает компонент ActiveX. Этот компонент получает доступ к файловой системе компьютера и загружает вредоносное ПО с серверов, которые уже были предварительно взломаны.
Данная malware в фоновом режиме шифрует файлы, согласно прописанному в нем списку типов файлов.
Когда процесс шифрования завершен, malware меняет фоновое изображение на рабочем столе компьютера, уведомляя пострадавшего о шифровании его файлов, и создает файлы readme.txt с инструкциями для их расшифровки.
Как правило, злоумышленники требуют около $300-500 в криптовалюте Bitcoin. Однако известны случаи, когда сумма выкупа равнялась трем биткоинам (по состоянию на 17 марта, на момент выпуска пресс-релиза, один биткоин стоил $1257), сообщают в Киберполиции. Впрочем, уязвимы только системы ниже Windows 10.
Чтобы не стать жертвой мошенников, Киберполиция рекомендует:
- всегда проверять адрес отправителя электронных сообщений (служебные заголовки письма);
- использовать PGP. Это позволит защитить переписку от просмотра посторонними лицами. Цифровая подпись также гарантирует, что сообщение действительно написано автором и не изменилось при передаче;
- никогда не открывать ссылки, содержащиеся в письме, если отправитель вам не известен;
- использовать теневое копирование файлов. Даже в случае, если файлы будут зашифрованы, вы сможете их восстановить.
Напомним, полиция Нидерландов в сотрудничестве с Европолом и крупными антивирусными компаниями создала сервис nomoreransom.org. На нем жертвам программ-шифровальщиков бесплатно раздают ключи для расшифровывания файлов. Однако в Киберполиции подчеркивают, что на сегодня ключей для расшифровки файлов в рамках данной конкретной кампании не найдено.
Комментарии | 6
«загрузити», «Юрьївна» — так, це справді з державної служби пишуть.
Навряд чи хтось буде такі листи на помилки перевіряти. 🙂
Дочитал до слов — «сумма выкупа равнялась трем биткоинам, что в долларовом эквиваленте составляет 1257, сообщают в Киберполиции»…
Я так понимаю в киберполицию почтальон укрпочты наконец-то принес прошлогодние газеты и ребята узнали из них курс?
Курс биткойна 1030 USD. https://blockchain.info/ru/charts/market-price.
А у вас в статье он 419 USD. Зачем Вы так? Или время глагола измените.
это не в АИН, это киберполицаи из прошлого. Я специально зашел на их сайт, там про сумму слово в слово )))
[decom_attached_image_1490024950253]