Вірус-шифрувальник в електронних листах!

В Україні і світі триває поширення шифрувальника #Scarab через масові розсилки фішингових електронних листів російською або українською мовами.

Приклад листа:

"Добрий день!

Не виходить зв'язатися з вами по телефону.

Повторно направляю вчорашній акт звірки. "

             Лист містить архів "Копія 1.gz", в якому буде виконуватись файл "Копія 1.scr" (С / С ++, ехе). Його активація призводить до шифрування файлів з метою отримання викупу для їх відновлення.
          Запуск файлу "Копія 1.scr" створює процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) і окремий інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy). Після видалення VSSVC.EXE починається видимий етап шифрування файлів, які не є виконуваними і створення окремих текстових файлів (з повідомленням про шифрування) в кожній директорії з зашифрованими файлами.
Зашифровані файли мають кодоване ім'я і розширення ".crypted034". 

 
        Для видалення копій файлів, які використовують для відновлення системи, запускається системний процес vsadmin.exe.
При завершенні кодування файлів відкривається вікно, в якому вимагають криптовалюту для відновлення файлів.

Індикатори компрометації: 

Файлова система: 
md5 28585ca46c91c1f2bbc8b250c37405a1 ./Копія 1.gz 
https://www.virustotal.com/#/file/9eaa19d8947960914f54feabad11f006055f6cc732bdb67f37a123c30abb7ea5/d...... 
md5 d777f7e024749579dc84abe718b7b8f2 ./Копія 1.scr. 
https://www.virustotal.com/#/file/187494087f21f2130e8d4db03828a41a2743046a8d7674c69b0efb94656d7b1c/d...... 

   Використовуються системні програми: 
"C: \ Windows \ System32 \ mshta.exe" 
"C: \ Windows \ System32 \ vssadmin.exe" 
"C: \ Windows \ System32 \ VSSVC.exe" 

   Постійність в системі (Persistens): 
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ {RANDOM} \ 
прописується "C: \ Windows \ System32 \ mshta.exe" 

   Электрона адреса: 
xcv786@india.com 
xcv786@tutanova.com 

   Регістрація: 
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMap 
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ HomeGroup \ UIStatusCache 
HKCU \ Software \ {RANDOM} \ temp 
% AppData% \ sevnz.exe 

 Процеси: 
sevnz.exe 
mshta.exe 
VSSVC.EXE 

Рекомендації щодо попередження загрози:

• Перед відкриттям вкладень в повідомленнях звертайте увагу на деталі (в листах від адресатів, за якими виникають, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора, то, як автор звертається до адресата, є нетиповим тощо; а також в повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів - архівів, виконуваних файлів (і т.д.);
• вимкніть шифрування, якщо воно дозволено;
• обмежте можливість запуску виконуваних файлів (* .exe, * .jar * .scr * .bs) на комп'ютерах користувачів з директорій% TEMP%,% APPDATA%;
• періодично перевіряйте систему антивірусом і оновлюйте бази сигнатур;
• використовуйте ліцензійні операційні системи та програмне забезпечення; оскільки це дає можливість їх періодично оновлювати;
• регулярно здійснюйте резервне копіювання важливих файлів;
• оновлюйте паролі доступу до важливих систем.