Фишинговые уловки
Жертва получает короткое письмо, подписанное якобы сотрудником компании, название которой на слуху. В самом письме минимум деталей — сообщение «Высылаю подробности заказа» и либо URL, выглядящий как ссылка на облачное хранилище документов, либо вложение. Распознать подделку легко можно по несоответствию адреса отправителя и данных в подписи: разные фамилии и домены сразу бросаются в глаза.
В письме часто ставят строку, имитирующую отметку о проверке каким-либо защитным решением, — злоумышленники считают, что так письмо вызовет больше доверия. По ссылке, разумеется, скачивается троян.
Вариант с вложением немного интереснее.
В нем содержится документ (в нашем случае это PDF-файл, но может быть и, например, DOCX), имитирующий интерфейс облачного сервиса. Вот якобы система электронной отчетности и документооборота СБИС из pdf-файла:
Разумеется, при попытке «напечатать документы на экран» скачивается все тот же шифровальщик.
Не исключено, что это далеко не все варианты — в интернете мы натыкались на описания похожих случаев, в которых троян находился непосредственно в письме в виде архива с JS-файлом.
Что за троян?
В качестве « полезной нагрузки » используется свежая разновидность давно известного шифровальщика Shade. Пару лет назад его уличили в том , что он не только блокирует данные, но и проверяет по ряду признаков, не в бухгалтерии ли работает жертва, и при необходимости вместо шифрования устанавливает инструменты удаленного доступа. Shade уже достаточно давно находится в десятке наиболее часто встречающихся троянов-вымогателей .
Действует он по классической схеме — шифрует файлы по заранее сформированному списку расширений, выводит на рабочий стол сообщение и создает файл с условиями разблокировки.
Кроме того, Shade умеет устанавливать в систему и другие вредоносы.
Что делать, чтобы остаться в безопасности?
Чтобы не заразиться и не поставить под угрозу всю компанию, нужно следовать стандартным советам, которые мы даем в статьях про шифровальщиков.
1. В первую очередь не следует открывать письма от неизвестных отправителей. Если вы ничего не заказывали у «****Нефть», то шансы того, что ее сотрудники пришлют вам «подробности заказа», стремятся к нулю.
2. Не забывайте о резервном копировании.
3. Защищайте рабочие станции надежным решением.
4. В идеале на вашем почтовом сервере также должно быть установлено защитное решение с надежными антифишинговыми технологиями. Например такое, которое входит в наш продукт Kaspersky Endpoint Security для бизнеса.
Что делать, если вас уже зашифровали
Тут сложнее — теоретически у нас есть утилита ShadeDecryptor , которая помогает расшифровать файлы. Помогает она не всегда, но начать следует именно с попытки самостоятельной разблокировки.
Однако даже если вам удалось расшифровать файлы, следует установить защитное решение и запустить полное сканирование — Shade мог установить дополнительное вредоносное ПО.
Если на пострадавшем компьютере установлено какое-то защитное ПО от стороннего вендора, но оно не справилось с шифровальщиком, имеет смысл воспользоваться Kaspersky Anti-Ransomware Tool. Оно совместимо с защитой от других разработчиков, но при этом может эффективно противостоять современным шифровальщикам.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
-
Родриго нима учун бугунги учрашувда майдонга тушмаслиги маълум бўлди
Жума оқшомида Мадриднинг "Реал" клуби Испания чемпионати доирасида "Реал Сосьедад"га қарши сафарда майдонга тушади.
-
Клопп: "Бугун мухлислардан фақат узр сўрашим мумкин"
Англия чемпионатининг 29-туридан ўрин олган қолдирилган ўйинда "Ливерпуль" "Эвертон"га мағлуб бўлди.
-
«G‘ishtko‘prik» chegara bojxona postida kuzatilayotgan tirbandliklar yuzasidan ma’lumot berildi .
Ijtimoiy tarmoqlarda Toshkent viloyatidagi “G‘ishtko‘prik” chegara bojxona postida kuzatilayotgan tirbandliklar keng muhokamalarga sabab bo‘lmoqda..
-
Germaniyada yevrodeputatga qarshi dastlabki tergov o‘tkazilmoqda.
«Germaniya uchun muqobil» o‘ng qanot populist partiyasidan siyosatchi Maksimilian Kra Rossiya va Xitoydan to‘lovlar olganlikda gumon qilinmoqda..
-
Vengriya transport-logistika sohasida O‘zbekiston bilan hamkorlikni kengaytiradi.
O‘zbekiston elchixonasi ko‘magida Centrum Holding kompaniyasi rahbari Abdulaziz Abdurahmonov boshchiligidagi delegatsiyasining Vengriyaning...