Вирус-шифровальщик в электронных письмах!

Вирус-шифровальщик в электронных письмах!

В Украине и мире продолжается распространение шифровальщика #Scarab через массовые рассылки фишинговых электронных писем на русском или украинском языках.

Пример письма:
"Добрый День!
Не получается связаться с вами по телефону.
Повторно направляю вчерашний акт сверки. "

          Письмо содержит архив "Копия 1.gz", в котором будет исполняемые файл "Копия 1.scr" (С / С ++, ехе). Его активации приводит к шифрованию файов с целью получения выкупа для их восстановления.
          Запуск файла "Копия 1.scr" создает процесс sevnz.exe, который запускает дочерний процесс mshta.exe (системный процесс для Internet Explorer) и отдельный инжект-процесс VSSVC.EXE (также системный для управления Volume Shadow Copy). После удаления VSSVC.EXE начинается видимый этап шифрования файлов, которые не являются исполняемыми и создания отдельных текстовых файлов (с уведомлением о шифровании) в каждой директории с зашифрованными файлами.
Зашифрованные файлы имеют кодированное имя и расширение ".crypted034".


      Для удаления копий файлов, которые используют для восстановления системы, запускается системный процесс vsadmin.exe.
При завершении кодирования файлов открывается окно, в котором требуют криптовалюту для восстановления файлов.

Индикаторы компрометации:

Файловая система:
md5 28585ca46c91c1f2bbc8b250c37405a1 ./Копия 1.gz
https://www.virustotal.com/#/file/9eaa19d8947960914f54feabad11f006055f6cc732bdb67f37a123c30abb7ea5/d.....
md5 d777f7e024749579dc84abe718b7b8f2 ./Копия 1.scr.
https://www.virustotal.com/#/file/187494087f21f2130e8d4db03828a41a2743046a8d7674c69b0efb94656d7b1c/d.....

   Используются системные программы:
"C: \ Windows \ System32 \ mshta.exe"
"C: \ Windows \ System32 \ vssadmin.exe"
"C: \ Windows \ System32 \ VSSVC.exe"

   Постоянство в системе (Persistens):
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ {RANDOM} \
прописывается "C: \ Windows \ System32 \ mshta.exe"

   Электронные адреса:
xcv786@india.com
xcv786@tutanova.com

   Регистрация:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMap
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ HomeGroup \ UIStatusCache
HKCU \ Software \ {RANDOM} \ temp
% AppData% \ sevnz.exe

 Процессы:
sevnz.exe
mshta.exe
VSSVC.EXE

Рекомендации по предупреждению угрозы:
Перед открытием вложений в сообщениях обращайте внимание на детали (в письмах от адресатов, по которым возникают, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов (и т.д.);
выключите шифрования, если оно разрешено;
ограничьте возможность запуска исполняемых файлов (* .exe, * .jar * .scr * .bs) на компьютерах пользователей из директорий% TEMP%,% APPDATA%;
периодически проверяйте систему антивирусом и обновляйте базы сигнатур;
используйте лицензионные операционные системы и другое программное обеспечение; поскольку это дает возможность их периодически обновлять;
регулярно осуществляйте резервное копирование важных файлов;
обновляйте пароли доступа к важным систем.

Вернуться к списку