Фишинговые уловки
Жертва получает короткое письмо, подписанное якобы сотрудником компании, название которой на слуху. В самом письме минимум деталей — сообщение «Высылаю подробности заказа» и либо URL, выглядящий как ссылка на облачное хранилище документов, либо вложение. Распознать подделку легко можно по несоответствию адреса отправителя и данных в подписи: разные фамилии и домены сразу бросаются в глаза.
В письме часто ставят строку, имитирующую отметку о проверке каким-либо защитным решением, — злоумышленники считают, что так письмо вызовет больше доверия. По ссылке, разумеется, скачивается троян.
Вариант с вложением немного интереснее.
В нем содержится документ (в нашем случае это PDF-файл, но может быть и, например, DOCX), имитирующий интерфейс облачного сервиса. Вот якобы система электронной отчетности и документооборота СБИС из pdf-файла:
Разумеется, при попытке «напечатать документы на экран» скачивается все тот же шифровальщик.
Не исключено, что это далеко не все варианты — в интернете мы натыкались на описания похожих случаев, в которых троян находился непосредственно в письме в виде архива с JS-файлом.
Что за троян?
В качестве « полезной нагрузки » используется свежая разновидность давно известного шифровальщика Shade. Пару лет назад его уличили в том , что он не только блокирует данные, но и проверяет по ряду признаков, не в бухгалтерии ли работает жертва, и при необходимости вместо шифрования устанавливает инструменты удаленного доступа. Shade уже достаточно давно находится в десятке наиболее часто встречающихся троянов-вымогателей .
Действует он по классической схеме — шифрует файлы по заранее сформированному списку расширений, выводит на рабочий стол сообщение и создает файл с условиями разблокировки.
Кроме того, Shade умеет устанавливать в систему и другие вредоносы.
Что делать, чтобы остаться в безопасности?
Чтобы не заразиться и не поставить под угрозу всю компанию, нужно следовать стандартным советам, которые мы даем в статьях про шифровальщиков.
1. В первую очередь не следует открывать письма от неизвестных отправителей. Если вы ничего не заказывали у «****Нефть», то шансы того, что ее сотрудники пришлют вам «подробности заказа», стремятся к нулю.
2. Не забывайте о резервном копировании.
3. Защищайте рабочие станции надежным решением.
4. В идеале на вашем почтовом сервере также должно быть установлено защитное решение с надежными антифишинговыми технологиями. Например такое, которое входит в наш продукт Kaspersky Endpoint Security для бизнеса.
Что делать, если вас уже зашифровали
Тут сложнее — теоретически у нас есть утилита ShadeDecryptor , которая помогает расшифровать файлы. Помогает она не всегда, но начать следует именно с попытки самостоятельной разблокировки.
Однако даже если вам удалось расшифровать файлы, следует установить защитное решение и запустить полное сканирование — Shade мог установить дополнительное вредоносное ПО.
Если на пострадавшем компьютере установлено какое-то защитное ПО от стороннего вендора, но оно не справилось с шифровальщиком, имеет смысл воспользоваться Kaspersky Anti-Ransomware Tool. Оно совместимо с защитой от других разработчиков, но при этом может эффективно противостоять современным шифровальщикам.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
O‘zbekiston Kaspiy dengizida gaz qazib olish bo‘yicha «Shohdengiz» loyihasiga qo‘shilishi mumkin .
«O‘zbekneftgaz» Ozarboyjonda gaz qazib olish loyihasiga qo‘shilishi mumkin, deya ma’lum qildi O‘zbekiston investitsiyalar, sanoat va savdo vaziri...
-
Beshik bolalarga kerakmi yoki kattalarga? – bolalar yotog‘idan qadriyat darajasiga chiqqan beshik haqida.
Farzandli bo‘lgach ko‘pincha ota-onalarning oldida 2 ta tanlov bo‘ladi: an’anaviy tarzda bolasini beshikka belab katta qilish yoki uning o‘rniga...
-
"Барса" яна бир Ла Масиа битирувчиси билан шартномани узайтиради
Ўйинчига бўлган қизиқиш ортиб бораётгани сабабли товон пули 6 миллион еврога оширилади.
-
Ekologik ekspertiza xulosasi bo‘lmagan issiqxonalar va sanoat korxonalariga gaz yetkazib berish to‘xtatiladi.
Toshkent shahri va uning atrofidagi sanitariya himoya mintaqasida (rejimli obektlar atrofida) qo‘shimcha issiqxona va atmosfera havosini...
-
Суперлига. "Металлург" ҳамда "Навбаҳор" жамоалари ўртасидаги баҳсларда устунлик ким тарафида?
Бугун Суперлигада 9-тур ўйинлари давом эттирилади.
-
Бэйл Беллингемни "Олтин тўп"га даъвогар деб ҳисоблайди
Гарет Бэйл "Олтин тўп"ни Жуд Беллингем қандай қўлга киритиши мумкинлигини тушунтирди.