Будьте внимательны!

Новые случаи распространения вируса – шифровальщика Troldesh / Shade

В течение 14 – 15.01.2019 наблюдалась массовая рассылка электронных писем содержащих внутри вирус – шифровальщик Troldesh/Shade.

 

Приведем примеры таких писем:

“Добрый день! Отправляю подробности заказа. Документ во вложении

Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”

“Добрый день! Отправляю подробности заказа. Документ во вложении

Ковалёв Артем

Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75”

“Добрый день! Отправляю подробности заказа. Документ во вложении

Копылов Кирилл
Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75”

Письма аналогичные по содержанию, но с разными фамилиями, содержащие прикрепленный архивный файл “info.zip“, с архивом с таким же названием, то есть двойной. В двойном архиве находится java скрипт “Информация.js“, который при выполнении загружает файл “ssj.jpg” во временную директорию.

 

Также замечено, что прикреплен архив “info.zip” может быть тройным, то есть «info.zip» → «info.zip» → «inf.zip» → «Информация.js».

 

Результаты выполнения других вариантов одинаковы, разница заключается в использовании различных алгоритмов шифрования, используемых при кодировании названия файлов и данных, и информации, которая передается на контрольный сервер.

 

Вредоносная программа также может распространяться в сети инфицированным устройством, используя SMB протокол.

 

В результате шифрования шифрованные файлы имеют расширение «*.crypted000007»,

 

 

а в каждой директории с кодированными файлами создается файл readme со следующим содержанием:

 

 

После завершения шифрования открывается сообщение на русском и английском языках.

 

 

Идентификаторы компрометации

Декодированы адреса:

 

hxxp: //www.michiganmastereltiempo.com/wp-content/themes/bizworx/images/ssj.jpg
hxxp: //vuonorganic.com/wp-content/themes/voice/images/admin/ssj.jpg
hxxp: //thaibbqculver.com/Aold-web/PICTURES/ssj.jpg
hxxp: //integramultimedia.com.mx/.well-known/acme-challenge/ssj.jpg
hxxp: //motocheck.in/.well-known/pki-validation/ssj.jpg
hxxp: //ereservices.com/.well-known/pki-validation/ssj.jpg
hххps: //myelectrive.com/wp-content/themes/theme-files/mediacenter/framework/inc/post-formats/css/ssj.jpg
hххp: //biengrandir37.com/wp-content/themes/accelerate/js/ssj.jpg
hххps: //smartideabusiness.com/wp-content/themes/peflican/assets/css/default-skin/ssj.jpg
hххp: //site-1.work/wordpress-4.9.8-ja-jetpack_webfont-undernavicontrol/ssj.jpg
hххps: //webknives.com/wp-content/themes/CherryFramework/js/ssj.jpg
hххp: //expeditionabroad.com/wp-content/themes/twentynineteen/fonts/ssj.jpg
hххps: //product-reviews.website/.well-known/acme-challenge/ssj.jpg
hххp: //fernandoherrera.me/wp-includes/ID3/ssj.jpg
hххp: //nowpropitup.com/css/ssj.jpg
hххp: //ghaniyu.com/wp-content/themes/landingpress-wp/assets/css/ssj.jpg

Контрольные суммы MD5:

Файловая система:

 

\\. \ PIPE \ wkssvc

\\. \ PIPE \ srvsvc

% ProgramData% \ Windo

Контрольные серверы (C ):

 

193.23.244.244

76.73.17.194

86.59.21.38

208.83.223.34

info.zip:

 

md5 c1c13d1faa5dc4a36371bd6d6ef7a42f

md5 6c26f61653d52b0e6016b6ff8275895f

md5 c8cab74a999935018afab2e1bd7bcaff

md5 2bc39d31ee236191354dab0aa2ffa26c

md5 cb158dd084b605a4c04ce025f4444e81

md5 4c4f00c2053a42accbb451ab2cf387d9

md5 c3f4fe77a1f97f5ee95d7951354f7c5f

md5 76da1510726a0ab3a3d59f6ed2a197e2

md5 245bb10c67c4acddac47069c1a8d82e4

md5 2ae07c114ae60f7b5d5fa4edbdad6534

md5 09bbf3bf13c07000dc58ea7f59eb0b6d

Информация.js:

 

md5 8e85ec89ac04247886846d1e45bcd60c

md5 e7494957d0143191f007d77a32db8246

md5 e47421c08e1e0fd37b10c65c4075e29a

md5 30654e6eea29285a2d4585b71a237b4c

md5 8689b84c115f4e23fe55b18fa07e95c2

md5 febd892c1c620b5efcd27ad27315f10d

md5 b678bb8267c906ccd942572b87a8d057

ssj.jpg

 

md5 3a29dd9147865b2c35f92a2aef0aba8d

https://www.virustotal.com/#/file/35809b55e77a750ff6d07100d5de321e513e3f33feb200d3b4323aab235f7fdd/detection

md5 e3c2deef166948804102a76ee6d7e9f4

https://www.virustotal.com/#/file/d5c0d8ca4705ca31a8742292b0274182e89eabae1f476b14ace611c90fe2400f/detection

md5 eee6b8fff025cafad98579657b7bccd0

https://www.virustotal.com/#/file/14e44c02a55de7ba6bce25648ae343104f90213f2f2d2c382e9c738de151cd50/detection

md5 a71294ac29535734df8d7ea8e30bef3b

https://www.virustotal.com/#/file/29c3039267fdb2758c8325b26069d94b3edd79c1c4c828bda0450b965422f552/detection

Рекомендации по предупреждению угрозы:

  • Необходимо делать простую проверку перед открытием вложений в сообщениях (в письмах от адресантов, по которым возникают, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов – архивов, исполняемых файлов (и прочее))

 

  • Выключить шифрование, если оно разрешено;

 

  • Использовать антивирус с обновленными базами сигнатур и лицензионную, обновленную операционную систему и программное обеспечение;

 

  • Регулярно осуществлять резервное копирование важных файлов, обновлять пароли доступа к важным систем и сканировать системы антивирусом;

 

  • Осторожно использовать общие папки, устанавливать права доступа с целью ограничения записи в них и периодически проверять их антивирусной программой;

 

  • Ограничить возможность запуска исполняемых файлов (* .exe, * jar, * .js) на компьютерах пользователей из директорий% TEMP%,% APPDATA%

 

  • Периодически сканировать съемные диски (USB), которые подключаются к важным систем, а по возможности запретить использование сторонних носителей

 

  • Заблокировать доступ к доменам, указанных в пункте декодированных адресов, и к адресам контрольных серверов.

По материалам сайта CERT-UA

Напишіть нам
Напишіть нам
Питання, сумніви, проблеми? Ми тут, щоб допомогти вам!
Підключення...
На даний момент жоден з наших операторів недоступний. Будь ласка, спробуйте ще раз пізніше.
Наші оператори зайняті. Будь ласка, спробуйте ще раз пізніше
:
:
:
Маєте запитання? Напишіть нам!
:
:
Сеанс чату завершено
Чи була ця розмова корисною? Проголосуйте за цей сеанс чату.
Добре Погано