28-12-2018 | категорія: Новини

Через електронні листи поширюється вірус-шифрувальник


В Україні та світі продовжується поширення шифрувальника #Scarab через масові розсилки фішингових електронних листів російською чи українською мовами (можливо з помилками).

Приклад листа:

 “Добрый День!

 Не получается связаться с вами по телефону.

Повторно направляю вчерашний акт сверки.

           Лист має прикріплений архів “Копия 1.gz” , який містить  виконувальний файл “Копия 1.scr” (С/С++, ехе), при активації якого шифруються файли з метою отримання викупу для їх відновлення.

           При запуску  “Копия 1.scr” створюється процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) та окремий  інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy). Після видалення процесу  VSSVC.EXE  починається видимий етап шифрування файлів, які не є виконувальними та створення окремих текстових файлів (з повідомленням про шифрування) у кожній директорії з зашифрованими файлами.

Зашифровані файли мають кодовану назву та розширення “.crypted034”.

 

 

 

          

Зауважимо, що для видалення копій файлів, які використовуються для відновлення системи, запускається системний процес vsadmin.exe.

При завершенні кодування файлів відкривається вікно, у якому вимагають криптовалюту для відновлення файлів.

 

   

Індикатори компрометації:

Файлова система:

md5 28585ca46c91c1f2bbc8b250c37405a1  ./Копия 1.gz

https://www.virustotal.com/#/file/9eaa19d8947960914f54feabad11f006055f6cc732bdb67f37a123c30abb7ea5/detection

md5 d777f7e024749579dc84abe718b7b8f2  ./Копия 1.scr.

https://www.virustotal.com/#/file/187494087f21f2130e8d4db03828a41a2743046a8d7674c69b0efb94656d7b1c/detection

Використовуються системні програми:

"C:WindowsSystem32mshta.exe"

"C:WindowsSystem32vssadmin.exe"

"C:WindowsSystem32VSSVC.exe"

Постійність у системі (Persistens):

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce{RANDOM}

прописується "C:WindowsSystem32mshta.exe"

Електронні адреси:

xcv786@india.com

xcv786@tutanova.com

Реєстр:

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMap

HKCUSoftwareMicrosoftWindowsCurrentVersionHomeGroupUIStatusCache

HKCUSoftware{RANDOM}temp 

%AppData% sevnz.exe

Процеси:

sevnz.exe

mshta.exe

VSSVC.EXE

 

Рекомендації щодо попередження загрози:

  • перед відкриттям вкладень у повідомленнях звертайте увагу на деталі (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше);
  • вимкніть шифрування, якщо воно дозволено;
  • обмежте можливість запуску виконуваних файлів (*.exe, *.jar *.scr *.bs) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
  • періодично перевіряйте систему антивірусом та оновлюйте бази сигнатур;
  • використовуйте ліцензійні операційні системи та інше програмне забезпечення; оскільки це дає можливість їх періодично оновлювати;
  • регулярно здійснюйте резервне копіювання важливих файлів;
  • оновлюйте паролі доступу до важливих систем.

 

CERT-UA