Вирус Scarab в Украине: нельзя доверять даже знакомым адресам
В пятницу, 24 ноября, наш портал уже писал о единичных случаях распространения вредоносного ПО – криптолокера Scarab – в Украине. К полуночи пятницы об экспансии шифровальщика заявили в киберполиции, а в субботу своими соображениями по этому поводу поделились и в команде CERT-UA.
Чем так опасен вирус-шифровальщик, распространяемый ботнетом Necurs, и как от него уберечься разбирался InternetUA.
Как действует Scarab
По данным киберполиции, благодаря крупнейшей ботнет-сети Necurs, по всему миру было отправлено более 12,5 миллионов электронных писем, в которых содержались файлы с новой версией Scarab. Электронные письма с вирусом были замаскированы под архивы с отсканированными изображениями.
Сами же письма могут приходить с адресов вашей адресной книги.
– Пользователи электронной почты, получая сообщения, видели, что к нему якобы были прикреплены файлы с изображениями отсканированных документов. К примеру: "Отсканировано от Lexmark", "Отсканировано от HP", "Отсканировано от Canon" и пр., – рассказали в киберполиции. – Эти письма содержали внутри архив 7Zip, с заархивированным Visual Basic скриптом. После его срабатывания на компьютер пользователя загружается и запускается EXE-файл – вирус Scarab ransomware. После успешного шифрования вирус создает и автоматически открывает текстовый файл («ЕСЛИ ВЫ ХОТИТЕ ПОЛУЧИТЬ ВСЕ ВАШИ ФАЙЛЫ ОБРАТНО, ПОЖАЛУЙСТА, ПРОЧТИТЕ ЕГО.TXT»), а затем размещает его на рабочем столе.
Сумма выкупа в сообщении не указывается, однако злоумышленники обращают внимание жертвы на то, что сумма выкупа увеличивается со временем, пока пострадавший не свяжется с авторами Scarab по электронной почте или BitMessage.
CERT-UA уточнил, что шифрованию поддаются документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы.
Успехом своего распространения Scarab, как и большинство «популярных» в Украине вирусов, во многом должен быть благодарен так называемому эффекту Барнума или эффекту субъективного подтверждения. Суть его заключается в том, что люди крайне высоко оценивают точность таких описаний их личности, которые, как они предполагают, созданы индивидуально для них, но которые на самом деле неопределённы и достаточно обобщены, чтобы их можно было с таким же успехом применить и ко многим другим людям. Этот эффект, к примеру, используют вирусы, распространяемые в Facebook.
Как уберечься
Команда реагирования на киберугрозы CERT-UA разработала ряд рекомендаций как уберечься от шифровальщика Scarab:
- Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают вопросы, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и т.д., а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов и т.д.).
- Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.
- Проверить журнальные файлы на предмет наличия записей с указанными индикаторами.
- Не работать под правами администратора.
- Ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%.
- Обратиться к рекомендациям CERT-UA по поводу безопасности почтовых сервисов.
В департаменте киберполиции просят пользователей тщательно и внимательно относиться ко всей электронной корреспонденции.
– Не стоит открывать такие приложения, даже если они поступили из надежного, по Вашему мнению, источника. Советуем получать подтверждение передачи файлов от адресата другими доступными каналами связи (телефон, смс, мессенджеры), – просят в киберполиции.