Про масову розсилку електронних листів з вірусом-шифрувальником Troldesh/Shade повідомляють фахівці CERT-UA.

Листи надходили упродовж 14-15 січня такого змісту:

“Добрый день! Отправляю подробности заказа. Документ во вложении

Тарасов Валерий

Менеджер.

Публичное Акционерное Общество “БИНБАНК”

(495) 755-50-75, 8 800 200-50-75”

або

“Добрый день! Отправляю подробности заказа. Документ во вложении

Ковалёв Артем

Менеджер.

Публичное Акционерное Общество “БИНБАНК”

(495) 755-50-75, 8 800 200-50-75″

або

“Добрый день! Отправляю подробности заказа. Документ во вложении

Копылов Кирилл

Менеджер.

Публичное Акционерное Общество “БИНБАНК”

(495) 755-50-75, 8 800 200-50-75″

Листи містять прикріплений архівний файл “info.zip” з архівом з такою ж назвою, тобто подвійний архів. У ньому знаходиться Java-скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.

Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->”info.zip”->”inf.zip”->”Информация.js”.Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.

Рекомендації щодо попередження загрози:

  1. необхідно робити просту перевірку перед відкриттям вкладень у повідомленнях. Наприклад, у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів тощо;
  2. вимкнути шифрування, якщо воно дозволено;
  3. використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;
  4. регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом;
  5. обережно використовувати спільні папки, встановлювати права доступу з метою обмеження запису в них та періодично перевіряти їх антивірусною програмою;
  6. обмежити можливість запуску виконуваних файлів (*.exe, *jar, *.js) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
  7. періодично сканувати змінні диски (USB), які підключаються до важливих систем, а по можливості заборонити використання сторонніх носіїв:
  8. заблокувати доступ до доменів, вказаних у пункті декодованих адрес, та до адрес контрольних серверів.

Декодовані адреси:

  • hxxp://www.michiganmastereltiempo.com/wp-content/themes/bizworx/images/ssj.jpg
  • hxxp://vuonorganic.com/wp-content/themes/voice/images/admin/ssj.jpg
  • hxxp://thaibbqculver.com/Aold-web/PICTURES/ssj.jpg
  • hxxp://integramultimedia.com.mx/.well-known/acme-challenge/ssj.jpg
  • hxxp://motocheck.in/.well-known/pki-validation/ssj.jpg
  • hxxp://ereservices.com/.well-known/pki-validation/ssj.jpg
  • hххps://myelectrive.com/wp-content/themes/theme-files/mediacenter/framework/inc/post-formats/css/ssj.jpg
  • hххp://biengrandir37.com/wp-content/themes/accelerate/js/ssj.jpg
  • hххps://smartideabusiness.com/wp-content/themes/peflican/assets/css/default-skin/ssj.jpg
  • hххp://site-1.work/wordpress-4.9.8-ja-jetpack_webfont-undernavicontrol/ssj.jpg
  • hххps://webknives.com/wp-content/themes/CherryFramework/js/ssj.jpg
  • hххp://expeditionabroad.com/wp-content/themes/twentynineteen/fonts/ssj.jpg
  • hххps://product-reviews.website/.well-known/acme-challenge/ssj.jpg
  • hххp://fernandoherrera.me/wp-includes/ID3/ssj.jpg
  • hххp://nowpropitup.com/css/ssj.jpg
  • hххp://ghaniyu.com/wp-content/themes/landingpress-wp/assets/css/ssj.jpg

Автор:

Автор: Олена Кожухар