Опасный вирус-шифровальщик распространяется в Украине

Опасный вирус-шифровальщик распространяется в Украине, Irina Denisova

В Украине и мире продолжается распространение шифровальщика #Scarab через массовые рассылки фишинговых электронных писем на русском или украинском языках (возможно с ошибками)

Письма обычно выглядят следующим образом:

"Добрый День! Не получается связаться с вами по телефону. Повторно направляю вчерашний акт сверки".

Письма имеют прикрепленный архив "Копия 1.gz", содержащий файл "Копия 1.scr" (С/С++, ехе), при активации которого шифруются файлы с целью получения выкупа для их восстановления.

При запуске "Копия 1.scr" создается процесс sevnz.exe, который запускает дочерний процесс mshta.exe (системный процесс для Internet Explorer) и отдельный инжект-процесс VSSVC.EXE (также системный для управления Volume Shadow Copy). После удаления процесса VSSVC.EXE начинается видимый этап шифрования файлов и создания отдельных текстовых файлов (с уведомлением о шифровании) в каждой директории с зашифрованными файлами.

Зашифрованные файлы имеют кодированное название и расширение ".crypted034".

снимок1.png (4 KB)
снимок1.png (4 KB)

Для удаления копий файлов, которые используются для восстановления системы, запускается системный процесс vsadmin.exe. При завершении кодирования файлов открывается окно, в котором содержится требование криптовалюты для восстановления файлов.

Опасный вирус-шифровальщик распространяется в Украине, фото-2

Рекомендации по предупреждению угрозы:

-перед открытием вложений в сообщениях обращайте внимание на детали (в письмах от адресантов, по которым возникают сомнения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов (и т.д.);

-выключите шифрование, если оно разрешено;

-ограничьте возможность запуска исполняемых файлов (*.exe, *.jar *.scr *.bs) на компьютерах пользователей из директорий %TEMP%, %APPDATA%;

-периодически проверяйте систему антивирусом и обновляйте базы сигнатур;

-используйте лицензионные операционные системы и другое программное обеспечение, поскольку это дает возможность их периодически обновлять;

-регулярно осуществляйте резервное копирование важных файлов;

-обновляйте пароли доступа к важным системам.

вирус #Scarab
Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Оцените первым
(0 оценок)
Пока еще никто не оценил
445 просмотров в январе
Пока никто не рекомендует
Авторизируйтесь ,
чтобы оценить и порекомендовать

Комментарии