Вирус Scarab в Украине: нельзя доверять даже знакомым адресам

Владимир Кондрашов
Вирус Scarab в Украине: нельзя доверять даже знакомым адресам

В пятницу, 24 ноября, наш портал уже писал о единичных случаях распространения вредоносного ПО – криптолокера Scarab – в Украине. К полуночи пятницы об экспансии шифровальщика заявили в киберполиции, а в субботу своими соображениями по этому поводу поделились и в команде CERT-UA.

Чем так опасен вирус-шифровальщик, распространяемый ботнетом Necurs, и как от него уберечься разбирался InternetUA.

Как действует Scarab

По данным киберполиции, благодаря крупнейшей ботнет-сети Necurs, по всему миру было отправлено более 12,5 миллионов электронных писем, в которых содержались файлы с новой версией Scarab. Электронные письма с вирусом были замаскированы под архивы с отсканированными изображениями.

Сами же письма могут приходить с адресов вашей адресной книги.  

– Пользователи электронной почты, получая сообщения, видели, что к нему якобы были прикреплены файлы с изображениями отсканированных документов. К примеру: "Отсканировано от Lexmark", "Отсканировано от HP", "Отсканировано от Canon" и пр., – рассказали в киберполиции. –  Эти письма содержали внутри архив 7Zip, с заархивированным Visual Basic скриптом. После его срабатывания на компьютер пользователя загружается и запускается EXE-файл  – вирус Scarab ransomware. После успешного шифрования вирус создает и автоматически открывает текстовый файл («ЕСЛИ ВЫ ХОТИТЕ ПОЛУЧИТЬ ВСЕ ВАШИ ФАЙЛЫ ОБРАТНО, ПОЖАЛУЙСТА, ПРОЧТИТЕ ЕГО.TXT»), а затем размещает его на рабочем столе.

45645.jpg (183 KB)

Сумма выкупа в сообщении не указывается, однако злоумышленники обращают внимание жертвы на то, что сумма выкупа увеличивается со временем, пока пострадавший не свяжется с авторами Scarab по электронной почте или BitMessage.

CERT-UA уточнил, что шифрованию поддаются документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы.

Успехом своего распространения Scarab, как и большинство «популярных» в Украине вирусов, во многом должен быть благодарен так называемому эффекту Барнума или эффекту субъективного подтверждения. Суть его заключается в том, что люди крайне высоко оценивают точность таких описаний их личности, которые, как они предполагают, созданы индивидуально для них, но которые на самом деле неопределённы и достаточно обобщены, чтобы их можно было с таким же успехом применить и ко многим другим людям. Этот эффект, к примеру, используют вирусы, распространяемые в Facebook.

Как уберечься

Команда реагирования на киберугрозы CERT-UA разработала ряд рекомендаций как уберечься от шифровальщика Scarab:

  1. Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают вопросы, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и т.д., а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов и т.д.).
  2. Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.
  3. Проверить журнальные файлы на предмет наличия записей с указанными индикаторами.
  4. Не работать под правами администратора.
  5. Ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%.
  6. Обратиться к рекомендациям CERT-UA по поводу безопасности почтовых сервисов.

В департаменте киберполиции просят пользователей тщательно и внимательно относиться ко всей электронной корреспонденции.

Не стоит открывать такие приложения, даже если они поступили из надежного, по Вашему мнению, источника. Советуем получать подтверждение передачи файлов от адресата другими доступными каналами связи (телефон, смс, мессенджеры), – просят в киберполиции.