Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 02.02.2016, 16:05   #983
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 250

kroxus на форуме

IT-безопасность-свежие новости.


Осторожно – шифровальщик Scatter!

В настоящее время мы наблюдаем очередную атаку троянца-шифровальщика Scatter. Жертвами этого троянца становятся, как правило, российские компании, работающие в сегменте малого и среднего бизнеса. При этом в случае успешного заражения компьютеров современной модификацией Trojan-Ransom.Win32.Scatter и выполнения зловредом своих функций расшифровать файлы без ключей злоумышленников невозможно.

Вот характерный пример такого инцидента. Произошел он в небольшой фирме, работающей в сфере недвижимости. Секретарь получил три письма со ссылками на некие списки документов, необходимых для налоговой. Из соображений безопасности компьютер секретаря работал под управлением ОС Linux, однако это ухищрение не помогло – секретарь старательно переслал все три ссылки в бухгалтерию с примечанием «для налоговой». Бухгалтер скачал файл, кликнул на него, и, не увидев открытого документа, переслал коллеге с просьбой «попробуй ты, у меня не открывается». В результате файлы на компьютерах обоих бухгалтеров были зашифрованы. Системного администратора подключили уже позже, когда перестали открываться важные документы.

Доставка зловредов

Злоумышленники используют знакомую схему атаки: сотрудник компании получает письмо, якобы отправленное представителем фирмы, ведущей какие-то общие дела с жертвой. «Представитель» жалуется на то, что при переезде им были утеряны некие документы, касающиеся совместных операций, и просит выслать их копии. В письмах нет ни малейшего намека на название фирмы-отправителя. И это первое, что должно насторожить получателя письма.

Тексты содержат незначительные вариации (очевидно, это попытка обойти спам-фильтры).

Список запрашиваемых документов якобы находится во вложении, хотя в письме нет никаких вложений — только ссылка. Она ведет на расположенный в публичном облаке Java-скрипт, замаскированный под документ с расширением .xls или .doc. Например, файл может называться «Список документов для ФНС от 20.01.15.docx_I квартал 2015г. Подписано руководителем_<…>_xls.js». В некоторых случаях, в имя файла добавляют множество пробелов для того, чтобы жертва не заметила расширение «.js».

Этот скрипт продукты «Лаборатории Касперского» детектируют как Trojan-Dropper.JS.Scatter.

При запуске скрипт сбрасывает в директорию %TEMP% вредоносный исполняемый файл с именем «fedca2b9009.exe» и запускает его. Данный файл содержит не только шифровальщика семейства Trojan-Ransom.Win32.Scatter, но и два других троянца: Nitol (DDoS-бот) и Pony (троянец для кражи информации, как правило, паролей). Не исключено, что именно Pony используется для пополнения базы адресов, по которым в дальнейшем злоумышленники отправляют письма со ссылкой на дроппер.

Полный текст
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика