В Україні та світі продовжується поширення шифрувальника #Scarab через масові розсилки фішингових електронних листів російською чи українською мовами (можливо з помилками).
Приклад листа:
“Добрый День!
Не получается связаться с вами по телефону.
Повторно направляю вчерашний акт сверки.”
Лист має прикріплений архів “Копия 1.gz” , який містить виконувальний файл “Копия 1.scr” (С/С++, ехе), при активації якого шифруються файли з метою отримання викупу для їх відновлення.
При запуску “Копия 1.scr” створюється процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) та окремий інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy). Після видалення процесу VSSVC.EXE починається видимий етап шифрування файлів, які не є виконувальними та створення окремих текстових файлів (з повідомленням про шифрування) у кожній директорії з зашифрованими файлами.
Зашифровані файли мають кодовану назву та розширення “.crypted034”.
Зауважимо, що для видалення копій файлів, які використовуються для відновлення системи, запускається системний процес vsadmin.exe.
При завершенні кодування файлів відкривається вікно, у якому вимагають криптовалюту для відновлення файлів.
Автор публікації
