По оценке «Лаборатории Касперского», проникновение шифровальщиков в компьютеры пользователей во втором квартале текущего года — по сравнению с предыдущим кварталом — возросло более чем в два раза, а это около 65 000 заблокированных попыток. Очередной рецидив был раскрыт специалистами компании «Лаборатория Касперского» буквально в июле. Вредоносное ПО внедрялось в пользовательские компьютеры с помощью инфицированных лже-писем, рассылаемых от имени неких коллекторских служб при крупных банках. Послание злоумышленники составили из расчета эмоционально-психологической реакции обывателя на угрозу судебного преследования, о чем в тексте и сообщалось.
Массовая рассылка вируса-шифровальщика осуществлялась злоумышленниками по одному и тому же шаблону. Адресат получал письмо с шокирующей темой: «У Вас не погашен кредит». Имя отправителя или выбиралось случайным образом (например, «From: Alexey»), либо дублировало электронный адрес отправителя. В качестве официального обращения в тексте письма использовались полные ФИО получателя. Текст сообщения был представлен в виде графического файла, который подгружался по отдельной ссылке, впрочем, как и логотип банка или приведенная в конце письма подпись «представителя коллекторской группы». В письме в виде «картинки» адресату сообщали:
«Уважаемый <имярек>,
меня зовут Афсенов Алексей Дмитриевич, я представитель коллекторской группы <название>. На ваше имя 17.01.2005 был оформлен потребительский кредит через наш онлайн-банкинг (URL крупного российского банка) на сумму 427 998 рублей.
На данный момент задолженность не погашена. На 20.07.2015 ваш долг составляет 633 773 рублей с учётом пени (0,5% в сутки). В связи с этим, на ваше имя бы составлен судебный иск.
Ознакомьтесь с документами:
Договор_займа.zip
Судебный_иск.zip»
Судебный_иск.zip»
И вправду, на большинство доверчивых получателей такое сообщение оказывало шокирующее воздействие: не задумываясь о подвохе, большинство адресатов тут же пыталось прочитать указанный «иск», чтобы разобраться в сути дела. Откуда им знать, что это — ловушка. Внутри указанных ZIP-файлов находилось исполняемое ПО с расширением [.]scr, а также защищенный паролем 7zip-архив, утилиту для его распаковки и скрипт для ее запуска. Вот в этот-то 7zip-архиве злоумышленники и «заложили» вирусный шифровальщик, который в каталогах «Лаборатории Касперского» известен под названием Trojan-Ransom.BAT.Scatter, а в антивирусных реестрах других профильных компаний — как VaultCrypt. Используя пакетный командный файл [.]cmd и легальную утилиту gpg.exe, зловред скрыто шифрует файлы в ПК и за их последующую расшифровку вымогает у пользователя деньги.
Примечательно, что злоумышленники развернули спам-кампанию от имени только двух банков — «Альфа-банка» и «Сбербанка», от стабильности которых во многом зависит экономическая безопасность России. И, по замечанию некоторых аналитиков, это не просто банальная хакерская операция или попытка осуществить как репутационную дискредитацию крупнейших финансовых организаций страны ли экономический ущерб через компрометацию их банкинг-сервисов, а нечто большее, имеющие отношение к ИБ государства. Так что было бы вполне логично, чтобы расследованием такого с первого взгляда тривиального киберпреступления занимались не службы ИБ пострадавших банков, а Управление «К» МВД России, Центр по противодействию киберугрозам ФСБ России и FinCERT Банка России.
.jpg)
.jpg)
.png)