Украинские предприниматели стали целевой аудиторией кибермошенников. В течение последней недели на электронные адреса как частных предпринимателей, так и государственных учреждений начали поступать сообщения якобы от Государственной фискальной службы Украины. В них содержится вирус-шифровальщик, а за разблокировку файлов на компьютере мошенники требуют выкуп в размере $300-500 (иногда больше $1000).
О необычной malware-кампании сообщили в пресс-службе Киберполиции. Злоумышленники осуществляют подмену адреса отправителя на адрес в зоне .gov.ua, чтобы получатель думал, будто письмо отправлено из госучреждения. В письме содержится ссылка на якобы счет для уплаты налогов.
На самом деле, ссылка ведет на один из взломанных сайтов, которые находятся под управлением CMS Joomla или WordPress, по которому загружается ZIP-архив. В архиве находится обфускованный JavaScript-код, который при выполнении создает компонент ActiveX. Этот компонент получает доступ к файловой системе компьютера и загружает вредоносное ПО с серверов, которые уже были предварительно взломаны.
Данная malware в фоновом режиме шифрует файлы, согласно прописанному в нем списку типов файлов.
Когда процесс шифрования завершен, malware меняет фоновое изображение на рабочем столе компьютера, уведомляя пострадавшего о шифровании его файлов, и создает файлы readme.txt с инструкциями для их расшифровки.
Как правило, злоумышленники требуют около $300-500 в криптовалюте Bitcoin. Однако известны случаи, когда сумма выкупа равнялась трем биткоинам (по состоянию на 17 марта, на момент выпуска пресс-релиза, один биткоин стоил $1257), сообщают в Киберполиции. Впрочем, уязвимы только системы ниже Windows 10.
Чтобы не стать жертвой мошенников, Киберполиция рекомендует:
- всегда проверять адрес отправителя электронных сообщений (служебные заголовки письма);
- использовать PGP. Это позволит защитить переписку от просмотра посторонними лицами. Цифровая подпись также гарантирует, что сообщение действительно написано автором и не изменилось при передаче;
- никогда не открывать ссылки, содержащиеся в письме, если отправитель вам не известен;
- использовать теневое копирование файлов. Даже в случае, если файлы будут зашифрованы, вы сможете их восстановить.
Напомним, полиция Нидерландов в сотрудничестве с Европолом и крупными антивирусными компаниями создала сервис nomoreransom.org. На нем жертвам программ-шифровальщиков бесплатно раздают ключи для расшифровывания файлов. Однако в Киберполиции подчеркивают, что на сегодня ключей для расшифровки файлов в рамках данной конкретной кампании не найдено.