Продовжується потік шифрувальників файлів .CBF

26/11/2015

Фахівцями CERT-UA був отриманий лист, який містить архів [информация о задолженности.rar][addbceae93737fcb0c5c4b406a778010].

Даний архів містить шідливе програмне забезпечення, а саме ширфувальник файлів *cbf:

[информация о задолженности.exe][dc5f599d63af93ad608215d8aa316359].

лист

 

1) Командою CERT-UA було проаналізовано даний exe-файл [информация о задолженности.exe][dc5f599d63af93ad608215d8aa316359].

2) Виявлено, що це було шкідливе програмне забезпечення шифрувальників файлів .CBF

Після того як даний exe-файл був активований він почав робити відстуки на командно-контрольні сервери зловмисника.

Даний exe-файл робить свою копію в директорію C:/Program files/1C/информация о задолженности.exe. Також цей шифрувальників файлів прописується в автозагрузці.

3) Було виявлено таку мережеву активність та командно-контрольний сервер:

network

 

 

4) Зашифрована частина папок з файлами на диску. До них додано розширення cbf і щось схоже на ключ типу email-anton_ivanov34@aol.com.ver-CL……-26.11.2015.cbf

Файли зашифровані та мають розширення *cbf:

encrypted

Після зашифрування файлів на робочому столі з’являється наступне зображення, яке вимагає написати на почту деякого «anton_ivanov34@aol.com» про те, що вас було інфіковано даним шифрувальником:

desktop

Робить свою копію в директорію C:/Program files/1C/информация о задолженности.exe

Це представлено на зображенні нижче:

selfcopy

Рекомендації CERT-UA щодо даного інциденту:

1) Ще раз наголошуємо на неприпустимості відкриття вкладень, отриманих засобами електронної пошти (без попереднього підтвердження факту надсилання електронного листа його відправником).

2) Системним адміністраторам і адміністраторам безпеки слід звернути увагу на фільтрацію вхідних/вихідних інформаційних потоків, зокрема, поштового і веб-трафіку.

3) Користувачам електронної пошти слід бути уважними при відкритті атачментів, навіть якщо вони надійшли від відомих адресатів.