Опубликовано admin 21 Мар 2017 в Новости | Нет комментариев
В течение последней недели, по электронным адресам, как частных, так и государственных учреждений, поступают сообщения, якобы от Государственной фискальной службы Украины.
Злоумышленники осуществляют подмену адреса отправителя в адрес в зоне .gov.ua, чтобы у получателя создавалось впечатление, что письмо отправлено из государственного учреждения.
В указанном сообщении содержится ссылка на якобы счет для уплаты налогов. На самом деле, ссылка ведет на один из взломанных сайтов, которые находятся под управлением CMS (система управления контентом) Joomla или WordPress, по которому загружается zip-архив. В архиве находится обфускований (метод для осложнения понимания алгоритма работы вредоносного кода) javascript, который при выполнении создает компонент ActiveX (в связи с чем, уязвимы только системы ниже Windows 10). Поскольку указанный компонент может получить доступ к файловой системе компьютера и выполнять нативный (машинный) код, он загружает вредоносное программное обеспечение (malware) с серверов, которые уже были предварительно взломаны. Указанная malware в фоновом режиме шифрует файлы, согласно прописанного в нем список типов файлов.
На самом деле ссылка ведет на один из взломанных сайтов, которые находятся под управлением CMS (система управления контентом) Joomla или WordPress, по которому загружается zip-архив.
В архиве находится обфускований (метод для осложнения понимания алгоритма работы вредоносного кода) javascript, который при выполнении создает компонент ActiveX (в связи с чем уязвимы только системы ниже Windows 10). Поскольку указанный компонент может получить доступ к файловой системе компьютера и выполнять нативный (машинный) код, он загружает вредоносное программное обеспечение (malware) с серверов, которые уже были предварительно взломаны. Указанная malware в фоновом режиме шифрует файлы, согласно прописанного в нем список типов файлов. Когда процесс шифрования будет завершено, malware меняет фоновое изображение на рабочем столе компьютера, и создает файлы readme.txt с инструкциями, чем уведомляет потерпевшего о шифровании его файлов, и дает дальнейшие инструкции для их расшифровки. Указанное вредоносное ПО известное как ransomware «No more ransom».
Ключей для расшифровки файлов, пострадавших от его действий, на данный момент в мире пока нет, ведется работа. Обычно, злоумышленники требуют суммы около 300-500 долларов США, в криптовалюте Bitcoin. Но, известны случаи, когда эта сумма равнялась 3 Bitcoin, что в долларовом эквиваленте составляет 1257 (на момент написания статьи).
Рекомендации киберполиции:
1. Всегда проверяйте адрес отправителя электронных сообщений (служебные заголовки письма).
2. Используйте PGP. Это позволит защитить вашу переписку от просмотра посторонними лицами. Цифровая подпись также гарантирует, что сообщение действительно написано автором и не изменилось при передаче.
3. Никогда не открывайте ссылки, содержащиеся в письме, если отправитель вам не известен.
4. Используйте теневое копирование файлов. Даже в случае, если ваши файлы будут зашифрованы, вы сможете их восстановить.
По материалам сайта «Юридична газета»
