СУДОВИЙ РОЗГЛЯД! Увага! Підроблені листи з арбітражного суду з вірусом-шифрувальником

Буквально за три останні дні, до мене звернулося відразу декілька знайомих з питанням про дивний лист з арбітражного суду. Один раз мені його навіть переслали з проханням відкрити, благо самостійно відкривати його намагалися на Mac і на iPad, тому все обійшлося без наслідків.

Здогадалися про що мова? Саме так, в більшості випадків люди обирають собі віруси-шифрувальники. Вірус шифрує призначені для користувача файли – текстові документи, фотографії, бази даних 1С, електронні таблиці і pdf. Це просто бич якийсь, за умови що знайти дешифратор під кожен конкретний екземпляр практично неможливо.

Вимагач часто маскується під лист з арбітражного суду, з грізною темою СУДОВИЙ РОЗГЛЯД!. Зворотна адреса не складно підробити, тому не варто звертати увагу на те що відправником значиться адреса noreply@arbitr.ru. Видаляйте його сміливо і щастя прийде в ваш будинок.

Подивившись вміст листа у вигляді коду, вирішив привести код посилання на вірус з нього в ознайомлювальних цілях (адреса електронної пошти замінений):

<a href = “http://www.salon-tayna.ru/assets/stat.php?
PID = AMS_3572&MLID = 74&GID = 441&EML=#####@mail.ru&
RD = http: //ivanvlasov.ru/images/arbitrinform.zip ”
data-vdir-href = “https://mail.yandex.ru/re.jsx?
h = a, 1sCHM2WFF0IqxrW1HaBXxQ&
l = aHR0cDovL3d3dy5zYWxvbi10YXluYS5ydS9hc3NldHMvc3RhdC5waHA_UElEPUFNU
18zNTcyJk1MSUQ9NzQmR0lEPTQ0MSZFTUw9cHJhdm8tbm5AbWFpbC5ydSZSRD1od
HRwOi8vaXZhbnZsYXNvdi5ydS9pbWFnZXMvYXJiaXRyaW5mb3JtLnppcA ”
data-orig-href = “http://www.salon-tayna.ru/assets/stat.php?PID=AMS_3572&
MLID = 74&GID = 441&EML=#####@mail.ru&
RD = http: //ivanvlasov.ru/images/arbitrinform.zip “class =” daria-goto-anchor ”
target = “_ blank”>ПЕРЕВІРИТИ ІНФОРМАЦІЮ</ a>

Пояснюю цей малозрозумілий набір символів (до речі, на даний момент тут написана цілком робоче посилання на вірус. Сподіваюся адміністрація зазначених сайтів це швидко прикриє). Значить що ми тут бачимо?

У самому листі вірусу немає! Тому будь-який антивірус нічого не запідозрить і дозволить вам відкрити цей лист, проте при натисканні на посилання < ПРОВЕРИТЬ ИНФОРМАЦИЮ >, ви самостійно завантажуєте собі архів з вірусом (в даному випадку файл arbitrinform.zip.

Цікавий той факт, що зловмисник для поширення вірусу використовує зламані сайти, я сильно сумніваюся що власники ресурсів www.ivanvlasov.ru, з якого гойдається вірус-вимагач і www.salon-tayna.ru, де імовірно ведеться статистика завантажень або чогось там ще, давали згоду на розміщення цього неподобства на їх ресурсах. Крайніми, в разі чого, зроблять саме ці сайти. Я постараюся зв’язатися з адміністрацією даних ресурсів і попередити про те, що з їх сайтів гойдаються віруси.

Але повернемося до самого вірусу-вимагача. Навіть завантаживши файл з вірусом собі на комп’ютер ви все одно ще не заразили його, сам шифрувальник сидить всередині архіву arbitrinform.scr, запустивши який ви практично підписуєте всім своїм документам смертний вирок. Я вже писав раніше в блозі що робити, якщо ви підчепили собі вірус-шифрувальник.

Якщо вважаєте статтю корисною, не лінуйтеся ставити лайки і ділитися з друзями.

Ссылка на основную публикацию