Внимание! Злоумышленники рассылают троян по электронной почте

Служба реагирования на компьютерные инциденты – KZ-CERT предупреждает о рассылке злоумышленниками электронных писем содержащих ссылки на вредоносные программы.

С сентября 2015 года пользователи Интернета стали получать по электронной почте сообщения, отправителем которых якобы является юридическое лицо, у которого идет налоговая проверка. Письма имеют заголовок «Документы»:

«Здравствуйте!
В нашей компании налоговая проверка. У нас с Вами нет одного договора и счeт-фaктуры.
Огромнейшая просьба подписать, отсканировать и выслать нам сегодня. Архив прикреплен

Ссылка для скачивания файлов: (указаны вредоносные ссылки)
Файлы будут храниться до 24.10.2015».

Перейдя по ссылкам, пользователь автоматически загружает вредоносный файл «Documenti dlya nalogovoi.scr», который имеет иконку документа Word, для введения пользователя в заблуждение, касательно истинного содержимого файла.

Используется расширение файла scr, которое многие пользователи не считают опасным, также не всегда данное расширение (в отличие от .exe и .com) контролируется автоматическими системами контроля (например, контроль скачивания на прокси-сервере и др.).

Многие продукты детектируют объект по имени Cryakl (Criakl) – один из современных троянцев-шифровальщиков.

Этот шифровальщик является весьма опасным, поскольку в настоящий момент не всегда имеется возможность расшифровки зашифрованных им данных.

Перечень расширений файлов, которые подвергаются зашифровыванию данным вредоносным объектом:

113, 1cd, 3gp, 7z, accdb, arj, asm, bak, cdr, cer, cpt, csv, db3, dbf, doc, docx, dt, dwg, fbf, fbk, fbw, fbx, fdb, gbk, gho, gzip, jpeg, jpg, key, keystore, ldf, m2v, m3d, max, mdb, nbd, nrw, nx1, odb, odc, odp, ods, ods, odt, old, orf, p12, pdf, pef, ppsx, ppt, pptm, pptx, pst, ptx, pwm, pz3, qic, r3d, rar, raw, rtf, rwl, rx2, sbs, sn1, sna, spf, sr2, srf, srw, tbl, tib, tis, txt, wab, wps, wps, x3f, xls, xlsb, xlsk, xlsm, xlsx, zip.

Данный образец шифрует файлы офисных приложений (причем, как Microsoft Office, так и OpenOffice), архивы, изображения, файлы баз данных, файлы криптографических ключей (ЭЦП), файлы программы 1С: Предприятие и другие.

Просим проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.

Если Вы случайно запустили файл, постарайтесь как можно быстрее завершить процесс mail.exe (используя диспетчер задач – Ctrl+Alt+Del -> Запустить диспетчер задач). Если сделать это достаточно быстро, Вы можете уменьшить количество зашифрованных файлов.

После этого (не перезагружая компьютер, так как вредонос автоматически запустится после перезагрузки), нужно установить антивирусную утилиту проверки компьютера, которая устанавливается без перезагрузки (например, Kaspersky Virus Removal Tool или Dr.Web CureIt!) и проверить компьютер.

Если Вы не можете выполнить сложные технические действия на компьютере – после завершения процесса mail.exe обратитесь к техническим специалистам (не выключая и не перезагружая компьютер).

Общие рекомендации по защите данных от воздействия шифровальщиков:

Обязательно использовать антивирусную программу с актуальными базами сигнатур (обновленными базами).

В настоящее время в сутки в мире появляется более 300 тыс. новых вредоносных объектов. Соответственно, если Ваши базы устарели на одну неделю – Ваш антивирус не сможет обнаружить более двух миллионов вредоносных объектов (кроме тех, которые он сможет определить по поведению).

Иметь актуальные резервные копии данных - как файлов документов, так и ключевых баз данных и информационных систем (например, 1С: Предприятие и др.).

Указанные копии хранить отдельно от рабочей системы, на съемном диске, либо на другой машине, к которой не имеется доступа с правами на запись с рабочей машины (чтобы вредонос не смог зашифровать данные на сетевом диске, либо подключенном съемном диске).

Периодичность резервного копирования нужно выбирать в соответствии частотой изменения данных и их ценностью (например, файлы 1С: Предприятия желательно копировать ежедневно).

Не открывать (по крайней мере, на компьютере, имеющем доступ к реальным рабочим данным) файлы, полученные по почте (или скачанные из сети Интернет) из недоверенных источников.

Даже если Вы доверяете отправителю, необычное письмо (на неожиданную тему, которая не обсуждалась ранее, нетипичная для данного отправителя) – должно насторожить Вас (могли взломать аккаунт Вашего коллеги и отправить вредоносный объект от его имени).

Особенно опасны письма, требующие срочных действий (срочно отправить, согласовать, проверить), если они получены от неизвестных Вам отправителей или не соответствуют контексту: Вам никто не говорил о необходимости срочных действий по телефону или иным способом, отличным от электронной почты, но Вы получили письмо с подобными требованиями.

Если Вы работаете с особо важными данными и не можете игнорировать подобные письма (например, Вы обрабатываете входящую почту) – для работы с письмами используйте отдельный компьютер, не подключенный к рабочей сети.

Рекомендации для инженеров, обслуживающих компьютеры:

На прокси-сервере компании запретить переход на сайт http://localstrip.com

Настроить на важных компьютерах технологии защиты по принципу default deny (запрет по умолчанию) – данная технология реализована в большом количестве антивирусных продуктов.

У каждого производителя антивирусных средств эта технология может называться по-разному, если Вы не можете найти в руководстве пользователя (администратора) сведений по настройке – обратитесь в службу технической поддержки.

Конечно, данная технология налагает жесткие (хотя и настраиваемые) ограничения, но она обеспечивает высокий уровень безопасности и подходит для компьютеров, на которых обрабатывается важная информация.

Также можно настроить функцию контроля программ (название может меняться) таким образом, чтобы антивирусная программа блокировала попытки недоверенного программного обеспечения изменить файлы важных для Вас типов (по расширениям).

О любых подозрительных на Ваш взгляд письмах, страницах в интернете просим сообщать на единый короткий номер 1400 или электронную почту info@kz-cert.kz.