Фишинговые уловки
Жертва получает короткое письмо, подписанное якобы сотрудником компании, название которой на слуху. В самом письме минимум деталей — сообщение «Высылаю подробности заказа» и либо URL, выглядящий как ссылка на облачное хранилище документов, либо вложение. Распознать подделку легко можно по несоответствию адреса отправителя и данных в подписи: разные фамилии и домены сразу бросаются в глаза.
В письме часто ставят строку, имитирующую отметку о проверке каким-либо защитным решением, — злоумышленники считают, что так письмо вызовет больше доверия. По ссылке, разумеется, скачивается троян.
Вариант с вложением немного интереснее.
В нем содержится документ (в нашем случае это PDF-файл, но может быть и, например, DOCX), имитирующий интерфейс облачного сервиса. Вот якобы система электронной отчетности и документооборота СБИС из pdf-файла:
Разумеется, при попытке «напечатать документы на экран» скачивается все тот же шифровальщик.
Не исключено, что это далеко не все варианты — в интернете мы натыкались на описания похожих случаев, в которых троян находился непосредственно в письме в виде архива с JS-файлом.
Что за троян?
В качестве « полезной нагрузки » используется свежая разновидность давно известного шифровальщика Shade. Пару лет назад его уличили в том , что он не только блокирует данные, но и проверяет по ряду признаков, не в бухгалтерии ли работает жертва, и при необходимости вместо шифрования устанавливает инструменты удаленного доступа. Shade уже достаточно давно находится в десятке наиболее часто встречающихся троянов-вымогателей .
Действует он по классической схеме — шифрует файлы по заранее сформированному списку расширений, выводит на рабочий стол сообщение и создает файл с условиями разблокировки.
Кроме того, Shade умеет устанавливать в систему и другие вредоносы.
Что делать, чтобы остаться в безопасности?
Чтобы не заразиться и не поставить под угрозу всю компанию, нужно следовать стандартным советам, которые мы даем в статьях про шифровальщиков.
1. В первую очередь не следует открывать письма от неизвестных отправителей. Если вы ничего не заказывали у «****Нефть», то шансы того, что ее сотрудники пришлют вам «подробности заказа», стремятся к нулю.
2. Не забывайте о резервном копировании.
3. Защищайте рабочие станции надежным решением.
4. В идеале на вашем почтовом сервере также должно быть установлено защитное решение с надежными антифишинговыми технологиями. Например такое, которое входит в наш продукт Kaspersky Endpoint Security для бизнеса.
Что делать, если вас уже зашифровали
Тут сложнее — теоретически у нас есть утилита ShadeDecryptor , которая помогает расшифровать файлы. Помогает она не всегда, но начать следует именно с попытки самостоятельной разблокировки.
Однако даже если вам удалось расшифровать файлы, следует установить защитное решение и запустить полное сканирование — Shade мог установить дополнительное вредоносное ПО.
Если на пострадавшем компьютере установлено какое-то защитное ПО от стороннего вендора, но оно не справилось с шифровальщиком, имеет смысл воспользоваться Kaspersky Anti-Ransomware Tool. Оно совместимо с защитой от других разработчиков, но при этом может эффективно противостоять современным шифровальщикам.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Londondan Singapurga uchgan samolyot kuchli turbulentlikka uchradi. Bir kishi halok bo‘lgan.
Halok bo‘lgan yo‘lovchi xavfsizlik kamarlarini bog‘lamagani ma’lum bo‘lgan..
-
Ibrohim Raisiy bilan vidolashuv marosimida O‘zbekiston delegatsiyasi ham ishtirok etadi.
Delegatsiyaga Oliy Majlis Qonunchilik palatasi spikeri Nurdinjon Ismoilov boshchilik qiladi..
-
-
Oltin eksporti 3,42 mlrd dollarga yetdi, 463 mln dollarlik gaz import qilindi – O‘zbekiston tashqi savdosi sharhi.
Joriy yilning 4 oyida O‘zbekiston 3,42 mlrd dollar qiymatidagi oltin sotdi. Bu rekord ko‘rsatkichdir. Mamlakat tashqi savdo aylanmasining nisbatan...
-
Rossiyadagilar Zelenskiy 20 maydan legitimligini yo‘qotdi deb hisoblamoqda. Bu haqda ukrainlarning o‘zi qanday fikrda?.
2019 yilda Volodimir Zelenskiy besh yillik muddatga saylangandi. Agar u ikkinchi muddatga nomzodini qo‘ymasa yoki yutqazsa, uning vakolatlari 2024...
-
To‘rt hududda “svet” va gaz tarmoqlariga noqonuniy ulanish holati fosh etildi.
Farg‘ona va Andijon viloyatlarida “svet” va tabiiy gaz tarmoqlariga noqonuniy ulanish holatlari fosh etildi. Bu haqda Bosh prokuratura huzuridagi...