Команда реагирования на компьютерные чрезвычайные события CERT-UA предупредила, что в Украине и мире продолжается распространение шифровальщика #Scarab через рассылки электронных писем.
Об этом проинформировали в пресс-службе CERT-UA.
“В Украине и мире продолжается распространение шифровальщика #Scarab через массовые рассылки фишинговых электронных писем на русском или украинском языках (возможно с ошибками)”, – отмечается в сообщении.
Письма обычно выглядят следующим образом:
“Добрый День! Не получается связаться с вами по телефону. Повторно направляю вчерашний акт сверки”.
Письма имеют прикрепленный архив “Копия 1.gz”, содержащий файл “Копия 1.scr” (С/С++, ехе), при активации которого шифруются файлы с целью получения выкупа для их восстановления.
При запуске “Копия 1.scr” создается процесс sevnz.exe, который запускает дочерний процесс mshta.exe (системный процесс для Internet Explorer) и отдельный инжект-процесс VSSVC.EXE (также системный для управления Volume Shadow Copy). После удаления процесса VSSVC.EXE начинается видимый этап шифрования файлов и создания отдельных текстовых файлов (с уведомлением о шифровании) в каждой директории с зашифрованными файлами.
Зашифрованные файлы имеют кодированное название и расширение “.crypted034”.
Для удаления копий файлов, которые используются для восстановления системы, запускается системный процесс vsadmin.exe. При завершении кодирования файлов открывается окно, в котором содержится требование криптовалюты для восстановления файлов.
Фото: cert.gov.ua
Рекомендации по предупреждению угрозы:
перед открытием вложений в сообщениях обращайте внимание на детали (в письмах от адресантов, по которым возникают сомнения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов – архивов, исполняемых файлов (и т.д.);
выключите шифрование, если оно разрешено;
ограничьте возможность запуска исполняемых файлов (*.exe, *.jar *.scr *.bs) на компьютерах пользователей из директорий %TEMP%, %APPDATA%;
периодически проверяйте систему антивирусом и обновляйте базы сигнатур;
используйте лицензионные операционные системы и другое программное обеспечение, поскольку это дает возможность их периодически обновлять;
регулярно осуществляйте резервное копирование важных файлов;
обновляйте пароли доступа к важным системам.
СПРАВКА. Команда реагирования на компьютерные чрезвычайные события Украины (англ. Computer Emergency Response Team of Ukraine, CERT-UA) – специализированное структурное подразделение Государственного центра киберзащиты и противодействия киберугрозам Государственной службы специальной связи и защиты информации Украины. Основано в 2007 году.
В 2018 году Национальная полиция Украины разоблачила тысячу преступлений в сфере кибербезопасности, а также предотвратила 4 масштабные кибератаки.
4 декабря сообщалось, что сотрудникам Службы безопасности Украины (СБУ) удалось заблокировать попытку российских спецслужб провести масштабную кибератаку на телекоммуникационные системы судебной власти Украины.
16 ноября команда реагирования на компьютерные чрезвычайные события CERT-UA предупредила о подготовке возможной кибератаки на компьютерные системы Украины.