Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

tG12hxe7r2HbNccWRXCOXajeG3bNfliHnUGCxTip.png

 

12.11.2018 та 15.11.2018 зафіксовані масові розсилки шкідливого програмного забезпечення Troldesh.

У вкладені zip-архів Gazprombank.zakaz.docx.zip з файлом “Газпромбанк заказ.js”, що завантажує та запускає файл sserv.jpg, який являється виконуваною шкідливою програмою. Дана програма шифрує всі файли користувача, які є в операційній системі. Після шифрування відображається повідомлення з вимогою викупу.
Як і в попередніх версіях зловмисники для розповсюдження вірусу використовують легальні сайти до яких вони отримали несанкціонований доступ (переважно СMS WordPress та Joomla). В файлову систему сайту завантажують sserv.jpg.

Інформація про наявність інструментів для дешифрування файлів відсутня.

 

Індикатори компрометації (IOC):

Посилання з яких завантажується основний файл вірусу Troldesh:

hxxp://dishsouq[.]com/wp-admin/css/colors/blue/sserv.jpg
hxxp://ansaigon[.]com/templates/tm_parallaite/css/presets/sserv.jpg
 

Адреса електронної пошти, з яких розповсюджується вірус:

wanda.guo@163.com
 

Шкідливі файли:

Gazprombank.zakaz.docx.zip

7AA84B6230648D63F38AA88611806BD3

Газпромбанк заказ.js

280A472ED1C227F74164402FCCF91898

sserv.jpg

C979470C37E141FFA3779B2E126ED497

https://www.virustotal.com/#/file/50992d9ee47283a09dcbb68a9f56f75b461910a865f584d18b569c03d7b1beca/detection

 

Більше інформації щодо Troldesh :

Попередня версія: https://cert.gov.ua/news/43

https://blog.checkpoint.com/2015/06/01/troldesh-new-ransomware-from-russia/

https://pastebin.com/1y8MpRZq

 

 

Якщо в перші декілька хвилин після запуску шкідливої програми вимкнути комп’ютер - є ймовірність, що не всі файли зашифрувалися. Після вимкнення необхідно підключити диск до іншої системи, просканувати антивірусом та скопіювати файли.

 

Рекомендації щодо попередження загрози:

  • добре думайте перед відкриттям вкладень у повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше);
  • вимкнути шифрування, якщо воно дозволено;
  • використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;
  • регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом.
Повідомити про інцидент