Вірус-шифрувальник масово розповсюджують поштою у фішингових листах

Олена Кожухар
ByОлена Кожухар
Багато років працюю в журналістиці. Пишу гайди та поради, технічні лайфхаки, інструкції з налаштувань та використання пристроїв.
2 хв. читання

Через масові розсилки фішингових електронних листів в Україні та світі хакери продовжують поширювати вірус-шифрувальник #Scarab. Про це повідомляє прес-служба Команди реагування на комп’ютерні надзвичайні події України CERT-UA.

Листи надходять російською чи українською мовами, можливі з помилками та містять наступний текст:

“Добрый День!

Не получается связаться с вами по телефону.

Повторно направляю вчерашний акт сверки.”

Лист має прикріплений архів “Копия 1.gz” , який містить виконувальний файл “Копия 1.scr” (С/С++, ехе), при активації якого шифруються файли з метою отримання викупу для їх відновлення.

Як працює вірус?

При запуску “Копия 1.scr” створюється процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) та окремий інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy).

Після видалення процесу VSSVC.EXE починається видимий етап шифрування файлів, які не є виконувальними та створення окремих текстових файлів (з повідомленням про шифрування) у кожній директорії з зашифрованими файлами.

Зашифровані файли мають кодовану назву та розширення “.crypted034“. Для видалення копій файлів, які використовуються для відновлення системи, запускається системний процес vsadmin.exe.

При завершенні кодування файлів відкривається вікно, у якому вимагають криптовалюту для відновлення файлів.

virus 20.12.18

Як попередити загрозу?

1. Перед відкриттям вкладень у повідомленнях звертайте увагу на деталі:

  • у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування;
    тема листа є нетиповою для автора;
  • спосіб, у який автор звертається до адресата, є нетиповим тощо;
  • у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів тощо.

2. Вимкніть шифрування, якщо воно дозволено.

3. Обмежте можливість запуску виконуваних файлів *.exe, *.jar *.scr *.bs на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

4. Періодично перевіряйте систему антивірусом та оновлюйте бази сигнатур.

5. Використовуйте ліцензійні операційні системи та інше програмне забезпечення, оскільки це дає можливість їх періодично оновлювати.

6. Регулярно здійснюйте резервне копіювання важливих файлів.

7. Оновлюйте паролі доступу до важливих систем.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати чудовий контент на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

ТЕМИ:
Поділитися
Попередня стаття placeholder Siri допоможе управляти “розумними” ґаджетами Xiaomi. Як налаштувати?
Наступна стаття placeholder Хакери зламали сервер ФСБ з системою моніторингу соцмереж

В тренді

Як захистити паролем фотографії на iPhone та iPad
Як захистити паролем фотографії на iPhone та iPad
Яка остання версія Android?
Яка остання версія Android?
Наскільки шкідливі перебої в електропостачанні для моїх гаджетів?
Наскільки шкідливі перебої в електропостачанні для моїх гаджетів?
Створили та забули: у чому небезпека неактивних облікових записів
Створили та забули: у чому небезпека неактивних облікових записів
Ваш смартфон отримає 4 великі оновлення з Android 16
Ваш смартфон отримає 4 великі оновлення з Android 16

Рекомендуємо