«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
20 января 2016 8735

Есть биткоин? А если найду? За расшифровку данных вымогатели требуют выкуп в криптовалюте



Компания ESET предупреждает о высокой активности трояна-загрузчика Nemucod. Программа используется для распространения шифратора TeslaCrypt, вымогающего биткоины.

Вектор атаки Nemucod типичен для данного класса вредоносного ПО. Злоумышленники используют сообщения электронной почты с ZIP-архивом в приложении. Письма имитируют официальную отправку счета-фактуры и рассылаются с реально существующих адресов уже скомпрометированных пользователей.


Фишинговое сообщение Nemucod

В отличие от ряда вредоносных кампаний в архиве содержится не исполняемый файл, а файл JavaScript. Это позволяет злоумышленникам обойти решения для защиты почтовых серверов, детектирующие формат .ехе.

После заражения Nemucod загружает в систему другое ПО, включая новую модификацию шифратора TeslaCrypt, который ранее использовался в атаках на российских пользователей. Программа шифрует текстовые документы, изображения и видео. В большинстве случаев зашифрованные файлы не могут быть восстановлены, даже если пользователь заплатит выкуп.


Сообщение о заражении TeslaCrypt
 
Вредоносная кампания ориентирована на англоговорящих пользователей. Уровень заражений остается стабильно высоким на протяжении месяца, что свидетельствует о высокой активности злоумышленников.

В настоящее время в статистике заражений Nemucod преобладают Великобритания и Австралия, высокая активность трояна наблюдается в Канаде, а также Японии. В некоторых регионах число обнаружений Nemucod достигало 75 % в общем объеме детектированных вредоносных программ.

ESET рекомендует пользователям игнорировать сообщения от неизвестных отправителей и регулярно выполнять резервное копирование данных.

Кроме того, предлагаем почитать наш гайд по защите от шифраторов.

Комментарии

4
Оставьте комментарий!
Павел Касаткин 20 января 2016 в 14:45 #
У нас на фирме один товарищ так профукал важную документацию, которая была у него на жестком диске. Причем на прямые вопросы "Ты открывал какие-то непонятные письма, был на подозрительных сайтах?" он мотал гривой и клятвенно заверял, что вообще ничего не делал. К сожалению, информацию так и не восстановили. Интересно, когда уже люди перестанут вестись на эти дурацкие уловки мошенников?
Александр Горбатовский 24 января 2016 в 13:37 #
Не понимал этого народ и более того не хотят понимать . Они зачастую просто хотят чтоб работало всё ,и всё . А как и что,их не валнует .А потом удивляются
Павел Касаткин 25 января 2016 в 11:35 #
Нужно вводить компьютерное воспитание, кроме шуток. Должна быть какая-то элементарная гигиена использования интернета, приложений. А то у нас с компьютерной грамотностью, как с английским: у всех сплошь Intermediate, а двух слов связать не могут.
Андрей Бакунин 27 января 2016 в 14:03 #
Никогда нельзя платить им. смысла нет. Знакомый сисадмин рассказывал как однажды заплатили за расшифровку, а в бухгалтерии на следующий же день открыли еще 1 шифратор