В течение 14 – 15.01.2019 наблюдалась массовая рассылка электронных писем содержащих внутри вирус – шифровальщик Troldesh/Shade.
Приведем примеры таких писем:
Будьте внимательны!
Новые случаи распространения вируса – шифровальщика Troldesh / Shade
“Добрый день! Отправляю подробности заказа. Документ во вложении
Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
“Добрый день! Отправляю подробности заказа. Документ во вложении
Ковалёв Артем
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
“Добрый день! Отправляю подробности заказа. Документ во вложении
Копылов Кирилл
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
Письма аналогичные по содержанию, но с разными фамилиями, содержащие прикрепленный архивный файл “info.zip“, с архивом с таким же названием, то есть двойной. В двойном архиве находится java скрипт “Информация.js“, который при выполнении загружает файл “ssj.jpg” во временную директорию.
Также замечено, что прикреплен архив “info.zip” может быть тройным, то есть «info.zip» → «info.zip» → «inf.zip» → «Информация.js».
Результаты выполнения других вариантов одинаковы, разница заключается в использовании различных алгоритмов шифрования, используемых при кодировании названия файлов и данных, и информации, которая передается на контрольный сервер.
Вредоносная программа также может распространяться в сети инфицированным устройством, используя SMB протокол.
В результате шифрования шифрованные файлы имеют расширение «*.crypted000007»,
а в каждой директории с кодированными файлами создается файл readme со следующим содержанием:
После завершения шифрования открывается сообщение на русском и английском языках.
Идентификаторы компрометации
Декодированы адреса:
hxxp: //www.michiganmastereltiempo.com/wp-content/themes/bizworx/images/ssj.jpg hxxp: //vuonorganic.com/wp-content/themes/voice/images/admin/ssj.jpg hxxp: //thaibbqculver.com/Aold-web/PICTURES/ssj.jpg hxxp: //integramultimedia.com.mx/.well-known/acme-challenge/ssj.jpg hxxp: //motocheck.in/.well-known/pki-validation/ssj.jpg hxxp: //ereservices.com/.well-known/pki-validation/ssj.jpg hххps: //myelectrive.com/wp-content/themes/theme-files/mediacenter/framework/inc/post-formats/css/ssj.jpg hххp: //biengrandir37.com/wp-content/themes/accelerate/js/ssj.jpg hххps: //smartideabusiness.com/wp-content/themes/peflican/assets/css/default-skin/ssj.jpg hххp: //site-1.work/wordpress-4.9.8-ja-jetpack_webfont-undernavicontrol/ssj.jpg hххps: //webknives.com/wp-content/themes/CherryFramework/js/ssj.jpg hххp: //expeditionabroad.com/wp-content/themes/twentynineteen/fonts/ssj.jpg hххps: //product-reviews.website/.well-known/acme-challenge/ssj.jpg hххp: //fernandoherrera.me/wp-includes/ID3/ssj.jpg hххp: //nowpropitup.com/css/ssj.jpg hххp: //ghaniyu.com/wp-content/themes/landingpress-wp/assets/css/ssj.jpg
Контрольные суммы MD5:
Файловая система:
\\. \ PIPE \ wkssvc
\\. \ PIPE \ srvsvc
% ProgramData% \ Windo
Контрольные серверы (C 2 ):
193.23.244.244
76.73.17.194
86.59.21.38
208.83.223.34
info.zip:
md5 c1c13d1faa5dc4a36371bd6d6ef7a42f
md5 6c26f61653d52b0e6016b6ff8275895f
md5 c8cab74a999935018afab2e1bd7bcaff
md5 2bc39d31ee236191354dab0aa2ffa26c
md5 cb158dd084b605a4c04ce025f4444e81
md5 4c4f00c2053a42accbb451ab2cf387d9
md5 c3f4fe77a1f97f5ee95d7951354f7c5f
md5 76da1510726a0ab3a3d59f6ed2a197e2
md5 245bb10c67c4acddac47069c1a8d82e4
md5 2ae07c114ae60f7b5d5fa4edbdad6534
md5 09bbf3bf13c07000dc58ea7f59eb0b6d
Информация.js:
md5 8e85ec89ac04247886846d1e45bcd60c
md5 e7494957d0143191f007d77a32db8246
md5 e47421c08e1e0fd37b10c65c4075e29a
md5 30654e6eea29285a2d4585b71a237b4c
md5 8689b84c115f4e23fe55b18fa07e95c2
md5 febd892c1c620b5efcd27ad27315f10d
md5 b678bb8267c906ccd942572b87a8d057
ssj.jpg
md5 3a29dd9147865b2c35f92a2aef0aba8d
https://www.virustotal.com/#/file/35809b55e77a750ff6d07100d5de321e513e3f33feb200d3b4323aab235f7fdd/detection
md5 e3c2deef166948804102a76ee6d7e9f4
https://www.virustotal.com/#/file/d5c0d8ca4705ca31a8742292b0274182e89eabae1f476b14ace611c90fe2400f/detection
md5 eee6b8fff025cafad98579657b7bccd0
https://www.virustotal.com/#/file/14e44c02a55de7ba6bce25648ae343104f90213f2f2d2c382e9c738de151cd50/detection
md5 a71294ac29535734df8d7ea8e30bef3b
https://www.virustotal.com/#/file/29c3039267fdb2758c8325b26069d94b3edd79c1c4c828bda0450b965422f552/detection
Рекомендации по предупреждению угрозы:
- Необходимо делать простую проверку перед открытием вложений в сообщениях (в письмах от адресантов, по которым возникают, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов – архивов, исполняемых файлов (и прочее))
- Выключить шифрование, если оно разрешено;
- Использовать антивирус с обновленными базами сигнатур и лицензионную, обновленную операционную систему и программное обеспечение;
- Регулярно осуществлять резервное копирование важных файлов, обновлять пароли доступа к важным систем и сканировать системы антивирусом;
- Осторожно использовать общие папки, устанавливать права доступа с целью ограничения записи в них и периодически проверять их антивирусной программой;
- Ограничить возможность запуска исполняемых файлов (* .exe, * jar, * .js) на компьютерах пользователей из директорий% TEMP%,% APPDATA%
- Периодически сканировать съемные диски (USB), которые подключаются к важным систем, а по возможности запретить использование сторонних носителей
- Заблокировать доступ к доменам, указанных в пункте декодированных адресов, и к адресам контрольных серверов.
По материалам сайта CERT-UA
