Масова розсилка вірусу-шифрувальника GandCrab

13.09.2018 зафіксовано масову розсилку нової модифікації вірусу-шифрувальника GandCrab v4, який розповсюджується за допомогою електронної пошти з таким та схожим за змістом листами:

Дякуємо, що скористалися нашими послугами!
Ваш баланс був успішно поповнений на 178 $.
Баланс після операції 369.015125 $
Oзнайомитися з деталями платежу [1]
С ув Anastas

Links:
——
[1] ftp://thestore:Soot777!@thestoreroomnsw.com.au/public_html/administrator/templates/khepri/html/0297_docs_tre_88.zip

 

В листах знаходяться посилання на файли, які зберігаються на попередньо зламаних ftp-серверах (найчастіше веб-сайти на базі CMS WordPress), до яких зловмисники отримали доступ. Власники можуть не підозрювати, що їх сервери скомпрометовані, адже сайти, які розміщені на цих серверах працюють без змін.
При переході по посиланню з листа, завантажуються архів (з розширенням zip) з виконуваним файлом (розширення .exe), який після активації (запуску) починає шифрувати всі файли користувача, які є в операційній системі.

 

Індикатори компрометації (IOC):

Архіви можуть мати назву:

0297_docs_tre_88.zip

docs_spwo_374.zip

eoplata007.zip

Prvd_docs.zip та інші

 

Виконувані файли можуть мати назву:

docs_spwo_374.exe

0297_docs_tre_88.exe

Prvd_docs.exe

 

Адреси електронної пошти, з яких проводилась розсилка можуть мати назву:

ricardodiniz@iol.pt
schmarbutzken@arcor.de
werner.mock@arcor.de

 

Шкідливі посилання:

ftp[:]//thestore:Soot777!@thestoreroomnsw.com.au/public_html/administrator/templates/khepri/html/0297_docs_tre_88.zip

ftp[:]//howgrim7:BVH4iOo8IE@www.dstruct.net/public_html/doomsdayfilms.com.au/administrator/templates/khepri/html/eoplata007.zip

ftp[:]//thefooda:tZu89(!pi[n6@ftp.thefoodplace.net/public_html/images/docs_spwo_374.zip

 

Файл попередження:

———————————————————————————————————————————————–

Вaши фaйлы были зашифровaны.

Чmoбы рaсшuфpoваmь иx, Bам необхoдимо omпрaвumь код:

*****код*******

нa элeктpoнный aдрес VladimirScherbinin1991@gmail.com .

Далее вы полyчиme вcе необxодuмые uнсmpykции.

Пonытkи paсшuфpoвamь caмоcmoятeльно не nрuведуm ни k чeмy, kрoмe бeзвозвpаmнoй пomеpи uнфoрмaциu.

Еслu вы вcё же хoтuтe nonыmaтьcя, то nредвaрuтeльнo сдeлайme pезеpвныe koпuu фaйлoв, иначе в cлучae иx uзмeнeнuя рaсшифровкa сmанеm невoзможной ни пpи kаkиx уcлoвиях.

Еcли вы нe получuли ответа пo вышeykазаннoмy адpeсу в mечeнuе 48 чacoв (u тольko в этoм cлyчae!),

воспoльзyйтеcь формой обpатной связи. Это мoжно cдeлаmь двyмя cпосoбами:

1) Cкaчайmе и уcтановите Tor Browser no cсылке: https://www.torproject[.]org/download/download-easy.html.en

B aдpеcной cтpоke Tor Browser-а введume aдpec:

hxxp://cryptsen7fo43rr6[.]onion/

u нaжмumе Enter. Зarрyзuтся cтpанuца с формoй обраmнoй связu.

2) B любoм брayзepе пeрeйдиme no oдномy uз адреcoв:

hxxp://cryptsen7fo43rr6.onion[.]to/

hxxp://cryptsen7fo43rr6.onion[.]cab/

———————————————————————————————————————————————–

 

Шкідливі файли:

0297_docs_tre_88.scr.exe

MD5           c2c5b6069c491bbd789e4ca2ab0b8b4b

SHA-1        c656448557cd3adda31e71da56700776b223f7a7

File Type    Win32 EXE

File Size      911 KB

https://www.virustotal.com/#/file/e7f43c2e20deb45a295eb7f3774c238e29a4a89e3d2487d9f852ada216052148/detection

docs_spwo_374.scr.exe

MD5           8d0db2fc0a493b9fbb0f21e455328294

SHA-1        bafc8dbd93879deabe7f9cb79b4641f950d53f79

File Type    Win32 EXE

File Size      911 KB

https://www.virustotal.com/#/file/270cbd6b5c344b952eb23b3383b30c4b97dc3f5b3e7702c61bb08c19e7f0320a/detection

Додаткова інформація:
https://www.fortinet.com/blog/threat-research/gandcrab-v4-0-analysis–new-shell–same-old-menace.html

Рекомендації CERT-UA:

– уникайте повідомлень вказаного та схожого змісту та застережіть персонал від запуску вкладень у підозрілих повідомленнях та файлів з виконуваними форматами ;

– зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;

– не завантажуйте з невідомих джерел файли і не активуйте підозрілі виконувані файли;

– регулярно робіть резервні копії важливого програмного забезпечення та данних;

– оновити антивірусну базу та просканувати потенційно заражені системи;

– регулярно оновлюйте операційну систему та програмне забезпечення;

– перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;

– користуйтеся ліцензійним ПЗ, адже безкоштовні активатори та генератори ключів майже завжди містять в собі шкідливе ПЗ.

0

Автор публікації

Офлайн 5 днів

Ihor Romanets

0
Коментарі: 0Публікації: 196Реєстрація: 02-10-2017