Про масову розсилку електронних листів з вірусом-шифрувальником Troldesh/Shade повідомляють фахівці CERT-UA.
Листи надходили упродовж 14-15 січня такого змісту:
“Добрый день! Отправляю подробности заказа. Документ во вложении
Тарасов Валерий
Менеджер.
Публичное Акционерное Общество “БИНБАНК”
(495) 755-50-75, 8 800 200-50-75”
або
“Добрый день! Отправляю подробности заказа. Документ во вложении
Ковалёв Артем
Менеджер.
Публичное Акционерное Общество “БИНБАНК”
(495) 755-50-75, 8 800 200-50-75″
або
“Добрый день! Отправляю подробности заказа. Документ во вложении
Копылов Кирилл
Менеджер.
Публичное Акционерное Общество “БИНБАНК”
(495) 755-50-75, 8 800 200-50-75″
Листи містять прикріплений архівний файл “info.zip” з архівом з такою ж назвою, тобто подвійний архів. У ньому знаходиться Java-скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.
Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->”info.zip”->”inf.zip”->”Информация.js”.Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.
Рекомендації щодо попередження загрози:
- необхідно робити просту перевірку перед відкриттям вкладень у повідомленнях. Наприклад, у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів тощо;
- вимкнути шифрування, якщо воно дозволено;
- використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;
- регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом;
- обережно використовувати спільні папки, встановлювати права доступу з метою обмеження запису в них та періодично перевіряти їх антивірусною програмою;
- обмежити можливість запуску виконуваних файлів (*.exe, *jar, *.js) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
- періодично сканувати змінні диски (USB), які підключаються до важливих систем, а по можливості заборонити використання сторонніх носіїв:
- заблокувати доступ до доменів, вказаних у пункті декодованих адрес, та до адрес контрольних серверів.
Декодовані адреси:
- hxxp://www.michiganmastereltiempo.com/wp-content/themes/bizworx/images/ssj.jpg
- hxxp://vuonorganic.com/wp-content/themes/voice/images/admin/ssj.jpg
- hxxp://thaibbqculver.com/Aold-web/PICTURES/ssj.jpg
- hxxp://integramultimedia.com.mx/.well-known/acme-challenge/ssj.jpg
- hxxp://motocheck.in/.well-known/pki-validation/ssj.jpg
- hxxp://ereservices.com/.well-known/pki-validation/ssj.jpg
- hххps://myelectrive.com/wp-content/themes/theme-files/mediacenter/framework/inc/post-formats/css/ssj.jpg
- hххp://biengrandir37.com/wp-content/themes/accelerate/js/ssj.jpg
- hххps://smartideabusiness.com/wp-content/themes/peflican/assets/css/default-skin/ssj.jpg
- hххp://site-1.work/wordpress-4.9.8-ja-jetpack_webfont-undernavicontrol/ssj.jpg
- hххps://webknives.com/wp-content/themes/CherryFramework/js/ssj.jpg
- hххp://expeditionabroad.com/wp-content/themes/twentynineteen/fonts/ssj.jpg
- hххps://product-reviews.website/.well-known/acme-challenge/ssj.jpg
- hххp://fernandoherrera.me/wp-includes/ID3/ssj.jpg
- hххp://nowpropitup.com/css/ssj.jpg
- hххp://ghaniyu.com/wp-content/themes/landingpress-wp/assets/css/ssj.jpg
