Новая угроза в украинском сегменте Интернет

В течение последней недели, на электронные адреса, как частных так и государственных учреждений, поступают сообщения, якобы от Государственной фискальной службы Украины.

Злоумышленники осуществляют подмену адреса отправителя, на адрес в зоне .gov.ua чтобы у получателя создавалось впечатление, что письмо отправлено из государственного учреждения.

В указанном сообщении содержится ссылка на якобы счет для уплаты налогов.

На самом деле, ссылка ведет на один из взломанных сайтов, которые находятся под управлением CMS (система управления контентом) Joomla или Wordpress, по которому загружается zip-архив.

В архиве находится обфускований (метод для затруднения понимания алгоритма работы вредоносного кода) java, который при выполнении создает компонент ActiveX (в связи с чем, уязвимы только системы ниже Windows 10).

Поскольку указанный компонент может получить доступ к файловой системе компьютера и выполнять нативный (машинный) код, он загружает вредоносное программное обеспечение (malware) с серверов, которые уже были предварительно взломаны.

Указанная malware в фоновом режиме шифрует файлы, согласно прописанного в нем списка типов файлов.

Когда процесс шифрования будет завершен, malware меняет фоновое изображение на рабочем столе компьютера, и создает файлы readme.txt с инструкциями, чем уведомляет потерпевшего о шифровании его файлов, и дает дальнейшие инструкции для их расшифровки. Указанное вредоносное ПО, известное как ransomware “No more ransom”. Ключей для расшифровки файлов, пострадавших от его действий, на данный момент в мире пока что не имеет, ведется работа. С

азвичай, злоумышленники требуют суммы около 300-500 долларов США, в криптовалюті Bitcoin. Но, известны случаи, когда эта сумма равнялась 3 Bitcoin, что в долларовом эквиваленте равно 1257 (на момент написания статьи).

Рекомендации:

1. Всегда проверяйте адрес отправителя электронного сообщения (служебные заголовки письма).

2. Используйте PGP.

Это позволит защитить вашу переписку от просмотра посторонними лицами. Цифровая подпись гарантирует, что сообщение действительно написано автором и не изменилось при передаче.

3. Никогда не открывайте ссылки, содержащиеся в письме, если отправитель вам не известен.

4. Используйте теневое копирование файлов. Даже в случае, если ваши файлы будут зашифрованы, вы сможете их восстановить.

Источник: https://www.cybercrime.gov.ua/