В Украине и мире продолжается распространение шифровальщика #Scarab через массовые рассылки фишинговых электронных писем на русском или украинском языках (возможно с ошибками).

Об этом сообщает CERT-UA.

Пример письма:

«Добрый День!

Не получается связаться с вами по телефону.

Повторно направляю вчерашний акт сверки».

Письмо имеет прикрепленный архив «Копия 1.gz», содержащий исполняемые файл «Копия 1.scr» (С / С ++, ехе), при активации которого шифруются файлы с целью получения выкупа для их восстановления.

При запуске «Копия 1.scr» создается процесс sevnz.exe, который запускает дочерний процесс mshta.exe (системный процесс для Internet Explorer) и отдельный инжект-процесс VSSVC.EXE (также системный для управления Volume Shadow Copy). После удаления процесса VSSVC.EXE начинается видимый этап шифрования файлов, которые не являются исполнительными, и создания отдельных текстовых файлов (с уведомлением о шифровании) в каждой директории с зашифрованными файлами.

Зашифрованные файлы имеют кодированное название и расширение «.crypted034».

Заметим, что для удаления копий файлов, которые используются для восстановления системы, запускается системный процесс vsadmin.exe.

При завершении кодирования файлов открывается окно, в котором требуется криптовалюта для восстановления файлов.

Индикаторы компрометации:

Файловая система:

md5 28585ca46c91c1f2bbc8b250c37405a1 ./Копия 1.gz

https://www.virustotal.com/#/file/9eaa19d8947960914f54feabad11f006055f6cc732bdb67f37a123c30abb7ea5/detection

md5 d777f7e024749579dc84abe718b7b8f2 ./Копия 1.scr.

https://www.virustotal.com/#/file/187494087f21f2130e8d4db03828a41a2743046a8d7674c69b0efb94656d7b1c/detection

Используются системные программы:

«C:\Windows\System32\mshta.exe»

«C:\Windows\System32\vssadmin.exe»

«C:\Windows\System32\VSSVC.exe»

Постоянство в системе (Persistens):

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\{RANDOM}\

прописывается «C:\Windows\System32\mshta.exe»

Электронные адреса:

xcv786@india.com

xcv786@tutanova.com

Реестр:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

HKCU\Software\Microsoft\Windows\CurrentVersion\HomeGroup\UIStatusCache

HKCU\Software\{RANDOM}\temp

%AppData% \sevnz.exe

Процессы:

sevnz.exe

mshta.exe

VSSVC.EXE

Рекомендации по предупреждению угрозы:

• перед открытием вложений в сообщениях обращайте внимание на детали (в письмах от адресантов, по которым возникают сомнения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов — архивов и т.д.);
• выключите шифрование, если оно разрешено;
• ограничьте возможность запуска исполнительных файлов (* .exe, * .jar * .scr * .bs) на компьютерах пользователей из директорий% TEMP%,% APPDATA%;
• периодически проверяйте систему антивирусом и обновляйте базы сигнатур;
• используйте лицензионные операционные системы и другое программное обеспечение, поскольку это дает возможность их периодически обновлять;
• регулярно осуществляйте резервное копирование важных файлов;
• обновляйте пароли доступа к важным систем.