13.09.2018 зафіксовано масову розсилку нової модифікації вірусу-шифрувальника GandCrab v4, який розповсюджується за допомогою електронної пошти з таким та схожим за змістом листами:
Дякуємо, що скористалися нашими послугами!
Ваш баланс був успішно поповнений на 178 $.
Баланс після операції 369.015125 $
Oзнайомитися з деталями платежу [1]
С ув Anastas
Links:
——
[1] ftp://thestore:Soot777!@thestoreroomnsw.com.au/public_html/administrator/templates/khepri/html/0297_docs_tre_88.zip
В листах знаходяться посилання на файли, які зберігаються на попередньо зламаних ftp-серверах (найчастіше веб-сайти на базі CMS WordPress), до яких зловмисники отримали доступ. Власники можуть не підозрювати, що їх сервери скомпрометовані, адже сайти, які розміщені на цих серверах працюють без змін.
При переході по посиланню з листа, завантажуються архів (з розширенням zip) з виконуваним файлом (розширення .exe), який після активації (запуску) починає шифрувати всі файли користувача, які є в операційній системі.
Індикатори компрометації (IOC):
Архіви можуть мати назву:
0297_docs_tre_88.zip
docs_spwo_374.zip
eoplata007.zip
Prvd_docs.zip та інші
Виконувані файли можуть мати назву:
docs_spwo_374.exe
0297_docs_tre_88.exe
Prvd_docs.exe
Адреси електронної пошти, з яких проводилась розсилка можуть мати назву:
ricardodiniz@iol.pt
schmarbutzken@arcor.de
werner.mock@arcor.de
Шкідливі посилання:
ftp[:]//thestore:Soot777!@thestoreroomnsw.com.au/public_html/administrator/templates/khepri/html/0297_docs_tre_88.zip
ftp[:]//howgrim7:BVH4iOo8IE@www.dstruct.net/public_html/doomsdayfilms.com.au/administrator/templates/khepri/html/eoplata007.zip
ftp[:]//thefooda:tZu89(!pi[n6@ftp.thefoodplace.net/public_html/images/docs_spwo_374.zip
Файл попередження:
———————————————————————————————————————————————–
Вaши фaйлы были зашифровaны.
Чmoбы рaсшuфpoваmь иx, Bам необхoдимо omпрaвumь код:
*****код*******
нa элeктpoнный aдрес VladimirScherbinin1991@gmail.com .
Далее вы полyчиme вcе необxодuмые uнсmpykции.
Пonытkи paсшuфpoвamь caмоcmoятeльно не nрuведуm ни k чeмy, kрoмe бeзвозвpаmнoй пomеpи uнфoрмaциu.
Еслu вы вcё же хoтuтe nonыmaтьcя, то nредвaрuтeльнo сдeлайme pезеpвныe koпuu фaйлoв, иначе в cлучae иx uзмeнeнuя рaсшифровкa сmанеm невoзможной ни пpи kаkиx уcлoвиях.
Еcли вы нe получuли ответа пo вышeykазаннoмy адpeсу в mечeнuе 48 чacoв (u тольko в этoм cлyчae!),
воспoльзyйтеcь формой обpатной связи. Это мoжно cдeлаmь двyмя cпосoбами:
1) Cкaчайmе и уcтановите Tor Browser no cсылке: https://www.torproject[.]org/download/download-easy.html.en
B aдpеcной cтpоke Tor Browser-а введume aдpec:
hxxp://cryptsen7fo43rr6[.]onion/
u нaжмumе Enter. Зarрyзuтся cтpанuца с формoй обраmнoй связu.
2) B любoм брayзepе пeрeйдиme no oдномy uз адреcoв:
hxxp://cryptsen7fo43rr6.onion[.]to/
hxxp://cryptsen7fo43rr6.onion[.]cab/
———————————————————————————————————————————————–
Шкідливі файли:
0297_docs_tre_88.scr.exe
MD5 c2c5b6069c491bbd789e4ca2ab0b8b4b
SHA-1 c656448557cd3adda31e71da56700776b223f7a7
File Type Win32 EXE
File Size 911 KB
docs_spwo_374.scr.exe
MD5 8d0db2fc0a493b9fbb0f21e455328294
SHA-1 bafc8dbd93879deabe7f9cb79b4641f950d53f79
File Type Win32 EXE
File Size 911 KB
Додаткова інформація:
https://www.fortinet.com/blog/threat-research/gandcrab-v4-0-analysis–new-shell–same-old-menace.html
Рекомендації CERT-UA:
– уникайте повідомлень вказаного та схожого змісту та застережіть персонал від запуску вкладень у підозрілих повідомленнях та файлів з виконуваними форматами ;
– зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;
– не завантажуйте з невідомих джерел файли і не активуйте підозрілі виконувані файли;
– регулярно робіть резервні копії важливого програмного забезпечення та данних;
– оновити антивірусну базу та просканувати потенційно заражені системи;
– регулярно оновлюйте операційну систему та програмне забезпечення;
– перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;
– користуйтеся ліцензійним ПЗ, адже безкоштовні активатори та генератори ключів майже завжди містять в собі шкідливе ПЗ.
Автор публікації
