Очередное компьютерное мошенничество

[ammo1]

Фантазия злоумышленников безгранична. Сегодня расскажу о способе отъёма денег у организаций, основанным на социальной инженерии 80 уровня.

Итак, в бухгалтерию организации по электронной почте приходит письмо от реального контрагента с темой «Акт сверки». В письме просят подтвердить наличие задолженности или оплату счетом. Во вложении как бы тот самый акт сверки или счета. 99.9% бухгалтеров откроют вложение такого письма.

Бывают варианты ещё прекрасней, например такой:

«Здравствуйте, нам прокуратура прислала письмо с требованием предоставить все договора с вашим предприятием. Не знаю, что они там "копают", но думаю, Вам будет интересно ознакомиться (запрос в приложении). Ответьте, все ли нормально, и можем ли мы им показывать все контракты.»



Разумеется, вместо документа там вирус-шифровальщик. У исполняемого файла иконка, как у картинки или документа и название, вроде «Акт сверки.doc.exe». После запуска файла Windows может предупредить о том, что запускается программа, но многие не обращают на это внимания.


Программа шифрует файлы: xls, xlsx, doc, docx, pdf, jpg, cd, jpeg, 1cd, rar, mdb, zip с помощью GnuPG. Зашифрованные файлы получают расширение «paycrypt@gmail_com», «.SOS@AUSI.COM_FG177» или подобные. Далее вирус рассылает аналогичное письмо с модифицированным содержанием 10 контрагентам пользователя. Затем на рабочем столе или в корне диска С: появляется файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt", в котором сообщается, что компьютер был атакован опаснейшим вирусом, вся информация зашифрована и даются инструкции о том, как информацию вернуть. Вымогатели запрашивают от €120 до €900. Некоторым называют сумму в зависимости от количества зашифрованных данных. Разумеется, нет никакой гарантии, что после оплаты действительно высылается ключ и файлы можно будет расшифровывать.

Никаких шансов расшифровать файлы нет. Эффективных алгоритмов взлома шифра RSA сне существует. Ключ для расшифровки данных можно получить только у автора троянца. Многие пытаются найти в интернете ключ для расшифровки, но этого бесполезно - на каждом компьютере ключ свой.

Выводы:
1. Регулярно делайте резервные копии на внешние носители.
2. Расскажите своим бухгалтерам об этой опасности.
3. Настраивайте компьютеры не очень квалифицированных пользователей так, чтобы невозможно было запустить ни один посторонний исполняемый файл.

p.s. Спасибо за информацию о вирусе генеральному директору компании IT Mix Дмитрию Двойникову.

Comments

[xyu71.livejournal.com]

попался 2 недели назад
"Здравствуйте
Во вложении - ваш типовый договор с нашими правками.
Если наши замечания не критичны, хотелось бы организовать встречу и подписание. Жду Ваших комментариев."

"Здравствуйте,
Мы получили письмо счастья от налоговой - скан в приложении.
Требуют от нас предоставить всю первичку по нашим совместным проектам.
Посмотрите, пожалуйста, текст их запроса. У нас есть еще 2 рабочих дня на ответ. Возможно, не все следует им "показывать".
Надеюсь на оперативную обратную связь.
Вложения (1):
1. Запрос ФНС_25082014.zip "

[ammo1.livejournal.com]

И какие последствия?

[litlship.livejournal.com]

знакомой пришло, нашёл и удалил (правда не так просто как написал)

[ilcomm.livejournal.com]

когда эту гребанную 1с на мак уже сделают(. ппц какой-то - это последняя программа для чего мне нужна винда (в паралелс).

[kobelsky]

НЕ - SQL вариант прекрасно работает под wine. Ставьте linux и наслаждайтесь.

[chonbuk.livejournal.com]

Спасибо, полезно.

[krasnob.livejournal.com]

Если ваши сотрудники некомпетентны, используйте почту на бесплатных крупных почтовых сервисах — там хотя бы антивирус есть.

[wforester.livejournal.com]

Смешно. Последний такой пробой был именно с ящика на бесплатных крупных почтовых сервисах.

[pbv1960.livejournal.com]

А Касперским или NOD32 такие троянцы всегда обнаруживаются? У меня на всех бухгалтерских машинах стоит NОD32 с настройкой "удалять все подозрительное не спрашивая пользователя" - пока (тьфу-тьфу) не попадались.

[ammo1.livejournal.com]

Увы, это лотерея. Скорее всего обнаружится, но может и нет.

[zaboris.livejournal.com]

Штука не новая. Помню лет 8 назад шифровались файлы доковские и экселевские, но они просто поролись, никто ничего не вымогал.
Спасибо, что напомнили

[sergey pavlov (from livejournal.com)]

Поэтому для документов нужно иметь файлопомойку с антивирусом и бэкапом. Даже если это будет старый целерончик на линухе с самбой.

[wforester.livejournal.com]

И диски с бэкапом отключать после процедурки. Иначе зверюшка радостно зашифрует и архивы бэкапа.

Расшифровываются, правда не все

[geekmaniak.livejournal.com]

Как-то у меня коллега ловил такой, я расшифровывал три дня. Кому интересно смогу помочь. Правда файлы при расшифровке теряют свое название и не подлежат расшифровке 10% файлов. А так все нормально.

Re: Расшифровываются, правда не все

[ammo1.livejournal.com]

По всей видимости этих вирусов очень много и я описал худший случай.

[aniri-irina.livejournal.com]

оо, сейчас такие письма валом идут, они попадают в папку спама, а там я их даже не читаю

а кстати, всегда вирус под расширением exe ?

[ammo1.livejournal.com]

у него двойное расширение. Если в системе настройки по умолчанию, Вы не увидите .exe.

[qyix7z.livejournal.com]

Меня на этой неделе достала некая Эмилия с письмами типа "my new photo ;)" и вложением photo.zip. Штук 10 пришло.
Хваленый нод32 только на следующий(!) день обнаружил трояна в этом зипе.

[closedsea.livejournal.com]

+1 недели 2 уже почтовый фильтр удаляет "my new photo ;)"

[sidmsk.livejournal.com]

а " реального контрагента" где они берут?

[ammo1.livejournal.com]

Утаскивают у предыдущей жертвы из контактов.

[livejournal.livejournal.com]

Здравствуйте! Ваша запись попала в топ-25 популярных записей LiveJournal России! Подробнее о рейтинге читайте в Справке.

[livejournal.livejournal.com]

Здравствуйте! Ваша запись попала в топ-25 популярных записей LiveJournal центрального региона. Подробнее о рейтинге читайте в Справке.

[uxare.livejournal.com]

приходило. интересно файлы на общем серваке он зашифрует?

[ammo1.livejournal.com]

Фиг его знает. В принципе вполне может.

[rocketsan.livejournal.com]

Я всего два раза слышал практические истории про заражение таким вирусом. Оба раза на хабре. И оба раза ключ был успешно декомпилирован. Софистика! :)

[dusty.livejournal.com]

Я с подобным вирусом сталкивался лет 10 назад у клиента. По счастью, у него был бэкап относительно свежий, поэтому расшифровкой заморачиваться не пришлось, только лечением.

[sergio-vorsin.livejournal.com]

Гм,а могут бухгалтерские тётки выучить одно,но очень простое правило:НИКОГДА НЕ ОТКРЫВАТЬ exe.шники,приходящие в почте?НИКОГДА!!!
Впрочем,уровень комп.грамотности бухг.тиоток иногда просто поражает.Была у меня деффка,когда-то ей было 19,ну и всё такое.Сейчас ей 36,она типичная по сознанию бухгалтерская тиотка.Ну иногда в контакте с ней вась-вась.Попросила фотки наши старые.Ну пишу:архив с фотками на файлообменнике,вот ссылка.Отвечает:я такого не понимаю-что такое архив и файлообменник,я к сисадмину с этим обращусь.У тётки высшее университетское образование...

[ingvarhelgisson.livejournal.com]

бухгалтерских теток ничему учить не надо.
надо
1. всегда делать бекап всего
2. держать критичные доки как минимум в двух местах
3. отобрать у пользователя админские права.

[xatkaru.livejournal.com]

У нас политикой компании все исполняемые и zip-файлы автоматически удаляются из письма еще на сервере, до того, как письмо приходит к конечному пользователю. В текст письма добавляется сообщение о том, что вложение было удалено.

[dusty.livejournal.com]

А архивы-то за что?

[bonapartw.livejournal.com]

Да ось у них не той системы

[dj-kira.livejournal.com]

"Никаких шансов расшифровать файлы нет. Эффективных алгоритмов взлома шифра RSA сне существует. Ключ для расшифровки данных можно получить только у автора троянца. Многие пытаются найти в интернете ключ для расшифровки, но этого бесполезно - на каждом компьютере ключ свой."

Не совсем. Все от модификации зависит. У меня бухгалтерия тоже отличилась. Но, потом, мои бойцы так увлеклись, что подобрали ключ. Вот топик в котором коллега изалагет процедуру: http://virusinfo.info/showthread.php?t=160942

3000-ТОП

[3000top.livejournal.com]

Ваша запись появилась в рейтинге 3000-ТОП (http://www.3000top.ru). Отслеживать судьбу записи вы можете по этой ссылке (http://www.3000top.ru/search.php?search=ammo1).

[kubaz.livejournal.com]

Пока не получал, но фиг знает...)
.exe удаляю сразу, архивы - попозже...)

[barma_glott.livejournal.com]

кстати, а вот как настроить запрет на исполнение сторонних файлов на XP и 7?

[qyix7z.livejournal.com]

1. Не сидеть с админскими правами.
2. В политиках безопасности указать, что можно запускать - остальное нельзя.

С подключением

[grave-in-4e.livejournal.com]

Свежесть альпийских гор
http://www.echo.msk.ru/programs/tochka/1381108-echo/

[kruzenwtern.livejournal.com]

Мои ловили. Заплатили, ключ получили, файлы расшифровали.

Эта пакость может расползаться и по сетевым дискам и по всему куда дотянется.
Работает до первой перезагрузки компа точно. Сколько времени будет работать - столько и зашифрует.

Денег просят (ловили paycrypt) 120 за не более 3 000 файлов, чем больше файлов тем дороже берут.

Докторвеб ловит ее только при принудительном сканировании. И не каждый раз.

[closedsea.livejournal.com]

там дешифратор со счетчиком? а если запустить каждый раз в новой виртуалке?