18-01-2019 | категорія: Новини
Будьте уважні! Спостерігається розсилка електронних листів з вірусом-шифрувальником
Нові поширення шифрувальника Troldesh/Shade
Впродовж 14-15.01.2019 спостерігалася масова розсилка електронних листів з шифрувальником Troldesh/Shade. Наведемо приклади таких листів:
“Добрый день! Отправляю подробности заказа. Документ во вложении
Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
або
“Добрый день! Отправляю подробности заказа. Документ во вложении
Ковалёв Артем
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
або
“Добрый день! Отправляю подробности заказа. Документ во вложении
Копылов Кирилл
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
Листи аналогічні за змістом, але з різними прізвищами, містять прикріплений архівний файл “info.zip”, з архівом з такою ж назвою, тобто подвійний. У подвійному архіві знаходиться джава скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.
Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->“info.zip”->"inf.zip"->“Информация.js”.
Результати виконання інших варіантів однаковий, різниця полягає у використанні різних алгоритмів шифрування, які використовуються при кодуванні назви файлів і даних, та інформації, яка передається контрольному серверу.
Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.
В результаті шифрування шифровані файли мають розширення “.{ідентифікатор користувача}.crypted000007”,
а в кожній директорії з кодованими файлами створюється файл readme з наступним змістом:
Після завершення шифрування відкривається повідомлення російською та англійською мовами.