В Україні і світі триває поширення шифрувальника #Scarab через масові розсилки фішингових електронних листів російською або українською мовами.
Приклад листа:
"Добрий день!
Не виходить зв'язатися з вами по телефону.
Повторно направляю вчорашній акт звірки. "
Лист містить архів "Копія 1.gz", в якому буде виконуватись файл "Копія 1.scr" (С / С ++, ехе). Його активація призводить до шифрування файлів з метою отримання викупу для їх відновлення.Запуск файлу "Копія 1.scr" створює процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) і окремий інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy). Після видалення VSSVC.EXE починається видимий етап шифрування файлів, які не є виконуваними і створення окремих текстових файлів (з повідомленням про шифрування) в кожній директорії з зашифрованими файлами.
Зашифровані файли мають кодоване ім'я і розширення ".crypted034".
Для видалення копій файлів, які використовують для відновлення системи, запускається системний процес vsadmin.exe.
При завершенні кодування файлів відкривається вікно, в якому вимагають криптовалюту для відновлення файлів.
Індикатори компрометації:
Файлова система:
md5 28585ca46c91c1f2bbc8b250c37405a1 ./Копія 1.gz
https://www.virustotal.com/#/file/9eaa19d8947960914f54feabad11f006055f6cc732bdb67f37a123c30abb7ea5/d......
md5 d777f7e024749579dc84abe718b7b8f2 ./Копія 1.scr.
https://www.virustotal.com/#/file/187494087f21f2130e8d4db03828a41a2743046a8d7674c69b0efb94656d7b1c/d......
Використовуються системні програми:
"C: \ Windows \ System32 \ mshta.exe"
"C: \ Windows \ System32 \ vssadmin.exe"
"C: \ Windows \ System32 \ VSSVC.exe"
Постійність в системі (Persistens):
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ {RANDOM} \
прописується "C: \ Windows \ System32 \ mshta.exe"
Электрона адреса:
xcv786@india.com
xcv786@tutanova.com
Регістрація:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMap
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ HomeGroup \ UIStatusCache
HKCU \ Software \ {RANDOM} \ temp
% AppData% \ sevnz.exe
Процеси:
sevnz.exe
mshta.exe
VSSVC.EXE
Рекомендації щодо попередження загрози:
- Перед відкриттям вкладень в повідомленнях звертайте увагу на деталі (в листах від адресатів, за якими виникають, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора, то, як автор звертається до адресата, є нетиповим тощо; а також в повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів - архівів, виконуваних файлів (і т.д.);
- вимкніть шифрування, якщо воно дозволено;
- обмежте можливість запуску виконуваних файлів (* .exe, * .jar * .scr * .bs) на комп'ютерах користувачів з директорій% TEMP%,% APPDATA%;
- періодично перевіряйте систему антивірусом і оновлюйте бази сигнатур;
- використовуйте ліцензійні операційні системи та програмне забезпечення; оскільки це дає можливість їх періодично оновлювати;
- регулярно здійснюйте резервне копіювання важливих файлів;
- оновлюйте паролі доступу до важливих систем.