28.11.2017

Новый вирус Scarab в Украине

Компьютерная сеть Necurs начала распространять новые образцы вирусного ПО, в частности криптолокер Scarab.

Об этом на своей странице в Facebook сообщил эксперт по кибербезопасности Владимир Стиран. К полуночи пятницы об экспансии шифровальщика рассказали в киберполиции, а в субботу своим мнением по этому поводу поделились и в компании CERT-UA.

Чем так опасен новый вирус-шифровальщик и как от него защититься читайте далее.

Как действует вирус

По данным киберполиции, благодаря самой большой ботнет-сети Necurs, по всему миру было отправлено более 12,5 миллионов электронных писем, в которых содержались файлы с новой версией Scarab. Электронные письма с вирусом были замаскированы под архивы с отсканированными изображениями.

При получении сообщения, пользователь видит прикреплены файлы с изображениями отсканированных документов. Например, «Отсканировано от Lexmark». В письмах внутри был архив в формате zip, со скриптом Visual Basic. После его срабатывания на компьютер пользователя загружается и запускается EXE-файл. Он же является вирусной программой Scarab. После шифрования вирусный код создает и автоматически открывает файл («ЕСЛИ ВЫ ХОТИТЕ ПОЛУЧИТЬ ВСЕ ВАШИ ФАЙЛЫ ОБРАТНО, ПОЖАЛУЙСТА, ПРОЧТИТЕ ЕГО.TXT»), а затем помещает его на рабочем столе.

Сумма выкупа в сообщении не указывается. При этом хакеры указывают на то, что сумма выкупа возрастает со временем, пока пострадавший не свяжется с авторами Scarab по электронной почте или BitMessage.

В CERT-UA ( отдел специалистов по кибербезопасности Украины) уточнили, что шифрованию поддаются такие данные:

  • документы MS Office, OpenOffice, PDF
  • текстовые файлы
  • базы данных
  • фотографии
  • аудио
  • видео
  • файлы образов
  • архивы.

Атака  быстро распространилась благодаря эффекту субъективного подтверждения. Суть его заключается в том, что люди очень высоко оценивают точность таких описаний их личности, которые, как они предполагают, созданы индивидуально для них, но которые на самом деле неопределённы и достаточно обобщены, чтобы их можно было с таким же успехом применить и ко многим другим людям. Этот эффект, к примеру, используют вирусы, что распространяются с помощью Facebook.

Как уберечься от этой вирусной атаки

Обеспечить недопустимость открытия подозрительных сообщений и прикрепленных файлов. Ни в коем случае не открывать письма от адресантов, по которым возникают вопросы. Также стоит несколько раз подумать прежде чем открывать письмо от известного адресата, если вас что-то смущает. Например, написание слов, нетипичная тема сообщения, подозрительные ссылки или архивы.

Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и    веб-трафика.Проверить    журнальные файлы на предмет наличия записей с указанными    индикаторами.Не    работать под правами администратора. Ограничить  возможность запуска исполняемых файлов (* .exe) на компьютерах  пользователей из директорий: TEMP и  APPDATA. При необходимости обратиться к сертифицированным специалистам по поводу безопасности  почтовых сервисов.

В департаменте киберполиции просят пользователей тщательно и внимательно относиться ко всей электронной корреспонденции.

Киберполиция в свою очередь просит всех пользователей не открывать такие приложения, даже если они поступили из надежного источника. Советуем получать подтверждение передачи файлов другими каналами связи. Например, посредством звонков, сообщений или мессенджеров.