Через масові розсилки фішингових електронних листів в Україні та світі хакери продовжують поширювати вірус-шифрувальник #Scarab. Про це повідомляє прес-служба Команди реагування на комп’ютерні надзвичайні події України CERT-UA.

Листи надходять російською чи українською мовами, можливі з помилками та містять наступний текст:

“Добрый День!

Не получается связаться с вами по телефону.

Повторно направляю вчерашний акт сверки.”

Лист має прикріплений архів “Копия 1.gz” , який містить виконувальний файл “Копия 1.scr” (С/С++, ехе), при активації якого шифруються файли з метою отримання викупу для їх відновлення.

Як працює вірус?

При запуску “Копия 1.scr” створюється процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) та окремий інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy).

Після видалення процесу VSSVC.EXE починається видимий етап шифрування файлів, які не є виконувальними та створення окремих текстових файлів (з повідомленням про шифрування) у кожній директорії з зашифрованими файлами.

Зашифровані файли мають кодовану назву та розширення “.crypted034“. Для видалення копій файлів, які використовуються для відновлення системи, запускається системний процес vsadmin.exe.

При завершенні кодування файлів відкривається вікно, у якому вимагають криптовалюту для відновлення файлів.

Як попередити загрозу?

1. Перед відкриттям вкладень у повідомленнях звертайте увагу на деталі:

  • у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування;
    тема листа є нетиповою для автора;
  • спосіб, у який автор звертається до адресата, є нетиповим тощо;
  • у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів тощо.

2. Вимкніть шифрування, якщо воно дозволено.

3. Обмежте можливість запуску виконуваних файлів *.exe, *.jar *.scr *.bs на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

4. Періодично перевіряйте систему антивірусом та оновлюйте бази сигнатур.

5. Використовуйте ліцензійні операційні системи та інше програмне забезпечення, оскільки це дає можливість їх періодично оновлювати.

6. Регулярно здійснюйте резервне копіювання важливих файлів.

7. Оновлюйте паролі доступу до важливих систем.

Автор: Олена Кожухар

#Scarab CERT-UA вірус-шифрувальник віруси кібербезпека кіберзахист фішинг фішингові листи