четверг, 3 июля 2014 г.

Paycrypt. Новый троянец шифровальщик. Опасно.



Если бы мы были газетой, то это сообщение, наверное, бы пошло в номер с пометкой "красной строкой" или "срочно". Уже не раз на страницах многих ресурсах интернет писали об основных правилах безопасности при работе в сети интернет: наличие установленного антивируса с постоянно обновляемыми антивирусными базами, своевременная установка критических обновлений ОС и используемого программного обеспечения, контроль за актуальностью версий используемых для web-серфинга браузеров и плагинов (Adobe Flash Player и т.п.), не говоря уже об опасности открытия почтовых вложений полученных от неизвестных адресатов или подозрительных файлов, полученных даже из надежных источников. Но так или иначе большинство пренебрегают этими простыми правилами, а также в силу недостаточной компьютерной грамотности или просто "на автомате" щелкают по всему что им попадается. Итог плачевен. Данная заметка - очередная попытка предупредить пользователей об опасности "бездумного" использования Интернет.

В одну организацию пришло письмо с темой "Налоговая проверка июль 2014" от другой компании. Т.к. организация работает со множеством контрагентов, то очередное письмо с подобной темой не вызвало никаких подозрений, тем более что в поле "От" в письме стоял, как показалось менеджеру, отправитель с которым у них есть деловые взаимоотношения. Письмо было следующего содержания:


"Начиная с 14 июля на нашем предприятии будет проходить налоговая проверка. Оригиналы отдельных документов, которые касаются нашего сотрудничества, были утеряны. Просьба проверить их наличие (список - см. вложение) Спасибо"

Во вложении находился обычный ZIP'овский архив - Налоговая проверка июль 2014.zip. Однако в нем был файл с длинным именем "Налоговая проверка ВТОРОЙ квартал 2014 года 07.07.2014 просьба проверить наличие документов договора заявки счета инвойсы акты первичные и прочее-mail.dос .js" и "двойным расширением". Как реагирует проводник Windows при попытке открытия такого файла - честно говоря, мы не проверяли. Но в том же WinRar'е, который достаточно распространен файл смотрелся вот так:


Тип файла "Файл JS" нисколько не смутил менеджера, равно как и его размер, и он запустил его. После чего все файлы *.doc, *.docx, *.xls, *.xlsx и др. на всех доступных дисках компьютера окзались зашифрованными. А в корне диска появился файл PAYCRYPT_GMAIL_COM.txt с инструкциями по расшифровке файлов. Злоумышленники требовали перевода денег для получения ключа дешифрования: "Здравствуйте. Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024 ... " ... и все. Абсолютно все документы на всех дисках были зашифрованы и переименованы в файлы с расширением .paycrypt@gmail_com, содержимое которых зашифровано. 

В результате анализа технологии распространения вируса нашими специалистами было выяснено, что вирусный javascript подтягивает модули шифрования и прочие компоненты трояна с сайта - russmebelspb.com (!), на момент написания этой заметки ему соответствуют следующие IP: 108.162.196.62 и 108.162.197.62 . Во избежание попадания этой заразы (именно этого экземпляра) в вашу сеть и шифрвоания ваших файлов - можно предпринять превентивные меры в виде блокировки доступа к указанным IP адресам на вашем интернет-шлюзе / маршрутизаторе. Таким образом, даже если кто-то из сотрудников запустит вредоносный js - никакого вреда не будет, т.к. js просто не сможет скачать компоненты шифровальщика с инфицированного сайта. Скорее всего владельцы russmebelspb.com и сами не в курсе что их сайт используется как источник распространения вредоносного кода. Однако это так. К слову, уже после заражения менеджер компании получившей письмо с вредоносом связался с клиентом, от имени которого якобы оно пришло - клиент сказал: "Ни в коем случае ничего не открывайте из того что пришло от нас, наша почта была взломана!". Т.о. злоумышленники обладают не только взломанными хостинг-площадками, которые используют как источники распространения вредоносного кода, но и также занимаются взломом ящиков электронной почты. Посудите сами, получив доступ к чужой почте на Яндексе, Mail.Ru, GMail'е и других почтовых сервисах - сделать подобную рассылку по всему списку контактов владельца почты не составит никакого труда. И люди воспримут по ошибке это письмо как "доверенное", т.к. он поступило от известного адресата. Будьте бдительны! Не открывайте подозрительные файлы, даже полученные от знакомых вам людей.

Вредоносный файл JS выглядит следующим образом (доменное имя ресурса с которго происходит загрузка вредоносного кода заменено на 127.0.0.1, во избежание, т.к. на данный момент файлы криптора все еще находятся на этом хостинге) - PayCrypt Downloader. Как видно с зараженного сайта скачивается файл word.doc, который потом пытается запуститься на исполнение. Возможно он содержит какой-то exploit, благодаря которому становится возможным выполнение процесса шифровальщика в контексте текущего пользователя.

Все обнаруженные нами файлы данного трояна-шифровальщика были отправлены нами в антивирусную лабораторию Dr.Web, на данный момент ни один из компонентов данного трояна не детектировался ни одним из известных антивирусов. Вот результаты с VirusTotal'а:


Будьте осторожны! Не отрывайте подозрительные вложения в электронной почте!

03/07/2014 22:29 - информация о трояне, а также все необходимые файлы были отправлены нами в антивирусную лабораторию DrWeb, о чем имеется соответствующий тикет.
04/07/2014 04:02 - URL с которого троянец-шифровальщик скачивает свои компоненты был оперативно занесен DrWeb в антивирусные базы DrWeb SpIDer Gate как "Источник распространения вирусов":


02/09/2014 02:27 - Появилось множество разновидностей этого вредоноса, часть наших клиентов пожаловались на появление рассылки следующего вида:


Естественно, все это очередная попытка вирусописателей выманить денег из доверчивых пользователей. Методы социальной инженерии используются во всей красе. Редкий неискушенный пользователь, получив подобное письмо, удержится от перехода по ссылке. А делать этого ни в коем случае нельзя, даже если на вашем ПК установлен антивирус. Несмотря на то, что указанное сообщение пришло якобы с адреса nrp@arbitr.ru , а по доменному имени arbitr.ru действительно находятся Федеральные арбитражные суды Российской Федерации - это еще ничего не означает. Подделать адрес отправителя не так уж из сложно, на самом деле - это задача посильная для школьника младших классов, что, собственно, и было сделано в данном случае. А если обратить внимание куда именно ведет ссылка "Просмотр" перед тем как нажать по ней, можно убедиться что URL сайта по ссылке ничего общего с арбитражем не имеет. А на самом деле там находится чей-то зараженный блог на WordPress. Поэтому еще раз - будьте бдительны при работе с электронной почтой. Не открывайте вложения и не переходите по ссылкам в подозрительных письмах.