Служба реагирования на компьютерные инциденты KZ-CERT предупреждает о массовой рассылке писем с вирусами
С сентября 2015 года пользователи Интернета стали получать по электронной почте сообщения, отправителем которых якобы является юридическое лицо, у которого идет налоговая проверка. Письма имеют заголовок «Документы»:
«Здравствуйте!
В нашей компании налоговая проверка. У нас с Вами нет одного договора и счeт-фaктуры.
Огромнейшая просьба подписать, отсканировать и выслать нам сегодня. Архив прикреплен
Ссылка для скачивания файлов: (указаны вредоносные ссылки)
Файлы будут храниться до 24.10.2015».
Перейдя по ссылкам, пользователь автоматически загружает вредоносный файл «Documenti dlya nalogovoi.scr», который имеет иконку документа Word, для введения пользователя в заблуждение касательно истинного содержимого файла.
Используется расширение файла scr, которое многие пользователи не считают опасным, также не всегда данное расширение (в отличие от .exe и .com) контролируется автоматическими системами контроля.
Многие продукты детектируют объект по имени Cryakl (Criakl) - один из современных троянцев-шифровальщиков.
Этот шифровальщик является весьма опасным, поскольку в настоящий момент не всегда имеется возможность расшифровки зашифрованных им данных.
Перечень расширений файлов, которые подвергаются зашифровыванию данным вредоносным объектом: 113, 1cd, 3gp, 7z, accdb, arj, asm, bak, cdr, cer, cpt, csv, db3, dbf, doc, docx, dt, dwg, fbf, fbk, fbw, fbx, fdb, gbk, gho, gzip, jpeg, jpg, key, keystore, ldf, m2v, m3d, max, mdb, nbd, nrw, nx1, odb, odc, odp, ods, ods, odt, old, orf, p12, pdf, pef, ppsx, ppt, pptm, pptx, pst, ptx, pwm, pz3, qic, r3d, rar, raw, rtf, rwl, rx2, sbs, sn1, sna, spf, sr2, srf, srw, tbl, tib, tis, txt, wab, wps, wps, x3f, xls, xlsb, xlsk, xlsm, xlsx, zip.
Данный образец шифрует файлы офисных приложений (причем, как Microsoft Office, так и OpenOffice), архивы, изображения, файлы баз данных, файлы криптографических ключей (ЭЦП), файлы программы 1С: Предприятие и другие.
«Просим проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников», - отмечается в сообщении.
Если вы случайно запустили файл, постарайтесь как можно быстрее завершить процесс mail.exe (используя диспетчер задач - Ctrl+Alt+Del -> Запустить диспетчер задач). Если сделать это достаточно быстро, можно уменьшить количество зашифрованных файлов.
После этого (не перезагружая компьютер, так как «вредонос» автоматически запустится после перезагрузки), нужно установить антивирусную утилиту проверки компьютера, которая устанавливается без перезагрузки (например, Kaspersky Virus Removal Tool или Dr.Web CureIt!) и проверить компьютер. Или же нужно обратиться к техническим специалистам (не выключая и не перезагружая компьютер).
Также рекомендуется обязательно использовать антивирусную программу с актуальными базами сигнатур (обновленными базами), иметь актуальные резервные копии данных - как файлов документов, так и ключевых баз данных и информационных систем (например, 1С: Предприятие и др.). Не открывать (по крайней мере, на компьютере, имеющем доступ к реальным рабочим данным) файлы, полученные по почте (или скачанные из сети Интернет) из неизвестных источников.
Особенно опасны письма, требующие срочных действий (срочно отправить, согласовать, проверить), если они получены от неизвестных отправителей или не соответствуют контексту.
О любых подозрительных на ваш взгляд письмах, страницах в интернете в KZ-CERT просят сообщать на единый короткий номер 1400 или электронную почту info@kz-cert.kz.
