Поздравляем, Ваши файлы зашифрованы!

Поздравляем, Ваши файлы зашифрованы!

В предыдущей статье я рассказывал о том, что в последнее время резко увеличилось количество входящих писем с вредоносными вложениями, в виде CryptoLocker. Атаки чаще всего направлены на сотрудников бухгалтерии и финансового отдела.

В текстах получаемых писем злоумышленники прикрываются клиентами компании или контрагентами. Жертвами злоумышленников становятся не только корпоративные, но и домашние пользователи.

В этом материале предлагаю рассмотреть один из реальных примеров получения таких писем компанией Y (название изменено).  

Исходная ситуация.

На почтовый ящик одной из сотрудниц финансового отдела компании Y пришло письмо с темой: «Документы для оплаты август».
Письмо имело вложение, заархивированное в zip формат под названием «Сч.-фактуры август.zip (252 Кбайт)»

Тело письма содержало следующий текст:

«Не могли до Вас дозвониться. На днях Вам должны прийти оригиналы первичных док-ов (в т.ч. - сч-фактуры за предоставленные услуги) в соответствии с нашим договором. Обратите внимание, что у нашей компании поменялись банковские реквизиты, так что оплачивайте по новым счетам- в приложении. Оригиналы мы обязательно перевыставим
С уважением,
А.Н. Печеневский
ООО Дальпромпоставка
тел:8 924 202 33 60»

Рис 1.png



На первый взгляд, ничего необычного, простая жизненная ситуация. Но на подозрения наводят два момента:

  1. В данном письме используются имя и фамилия отправителя «Иванов Иван». Слишком просто и лениво. Злоумышленники могли бы постараться и в регистрационных данных почтового ящика «ant2292@yandex.ru » указать все того же А. Печеневского. Этот момент выглядел бы более убедительно. 
  2. Как выяснилось, компания Y не работает с поставщиками пластмассы с Дальнего востока. 
В данной ситуации необходимо проверить, не несёт ли данный файл угрозу. Что сделали сотрудники отдела информационной безопасности компании Y? Они действовали поэтапно.

Первое: обратились к системе проверки контрагентов, которая проинформировала, что компания ООО «Дальпромпоставка» действительно существует и зарегистрирована по адресу г. Хабаровск, ул.Перспективная, д.38, кв.41. ФИО совпадает с данными, указанными в подписи письма. 


Рис 2.png



Второе: Набрав запрос в Google «ООО Дальпромпоставка», они определили сайт данной компании, в контактных данных которого видно все того же Александра Печеневского, и номер телефона компании, который указан в пришедшем письме. Адрес компании отличался от данных регистрации, но это не является критичным фактором . 
Стоит отметить, что здесь злоумышленники постарались и представились действительно существующей компанией.

Третье: был совершен контрольный звонок на указанный контактный номер. На другом конце провода сообщили, что никаких писем на адрес компании Y не направлялось, и рассылка ведется злоумышленниками, которые прикрываются именем компании «ООО Дальпромпоставка».

Рис 3.png


Четвертое: В целях дальнейшего эксперимента, вложение архива было скопировано на тестовый компьютер. Внутри архива находился файл с Java скриптом под именем «перечень документов от 15 августа 2016. Подписано главным бухгалтером для контрагента 1С Бухгалтерия v9.0.4._Заеасb1». В данном случае злоумышленники подошли к делу как надо, указав привлекательное имя к файлу, заставляют тем самым отрыть его. 

Рис 4.png

Файл был запущен двойным кликом мышки, и через мгновение на мониторе появилось следующее сообщение.

рис 5.png

На компьютере запустился Java скрипт, который моментально зашифровал все имеющиеся файлы офисных приложений и мультимедиа.

Будь это реальная система, а не тестовая, можно считать, что злоумышленники добились своей цели. Дальше нужно было бы решать: восстанавливать всю потерянную информацию из резервной копии, если таковая имеется, или связываться со злоумышленниками и договариваться о сумме выкупа ключей для расшифровки потерянной информации.

Еще один пример атаки. В процессе подготовки статьи, а именно – сегодня, стало известно об очередном случае поражения компьютера пользователя компании Y вредоносным шифровальщиком. На этот раз атака выглядела немного иначе. Поведаю ниже о новом изяществе злоумышленников и о том, как компании Y чуть-чуть повезло.


О содержимом полученного письма.

Тема письма: Проект акта сверки ООО "СНПО "ЭксПром"

Во вложении zip-архив с названием "АКТ от 17.08.16.zip (152Кбайт)"
  
В архиве файл с названием «Акт сверки – согласованно генеральным директором и главным бухгалтером и отправлено_znHAhcoQ.doc"

Текст письма был следующего содержания:

«Вывели по Вашему предприятию сводную ведомость. Согласно нашим данным за Вашей фирмой с прошлого месяца числится долг. Мое руководство настаивает на подписании акта сверки.
ООО "СНПО "ЭксПром"
Обратите внимание на то, что все документы, представляющие коммерческую ценность, пересылаются сотрудниками ООО "СНПО "ЭксПром" только в защищенном виде. Пароль на вложенный документ - 111.»

Глядя на этот текст можно сказать, что методы влияния злоумышленников на потенциальных жертв постоянно меняются. В данном конкретном случае на вложенный в архив вредоносный файл был установлен пароль. У пользователя подсознательно возникает мысль – если запаролено, то отправитель беспокоится о защите содержимого и внутри действительно что-то важное и вложенный документ можно открывать без опасения. По логике вещей, ставить дополнительные преграды на открывании пользователем вредоносных вложений – не в интересах злоумышленника. В их интересах сделать все просто и спровоцировать жертву открыть вложение с наименьшими действиями. Но не в этот раз. В данном случае, злоумышленники пошли по «длинному» пути с целью вызвать наибольшее доверие у жертвы и еще сильнее спровоцировать его на запуск вредоносного вложения. Чего в результате они и добились.

Итог. В результате вся информация была зашифрована, то есть фактически – потеряна. За ее расшифровку попросили некий процент от одного биткоина, что по нынешнему курсу составляет порядка 16 000 рублей.


Выводы:

  • НЕЛЬЗЯ РАССЛАБЛЯТЬСЯ! Проявляйте бдительность при работе с почтовыми сервисами и входящими письмами. Обращайте внимание на тему письма, на формат вложенных документов. О мерах безопасности ежедневно пишут десятки средств массовой информации. И трубят об этом уже довольно давно. Но случаи все же происходят. 
  • Используйте антивирусное программное обеспечение и вовремя его обновляйте. 
  • Помимо офисных и медиа файлов теперь также шифруются файлы с расширением zip и rar. То есть, архив фотографий с отпуска "Крым 2016.rar " пользователя компании Y так же был бы потерян. 
  • Не забывайте делать резервные копии рабочих документов. Используйте резервное копирование данных на отчуждаемые носители или облачные сервисы. 
  • Переходите на защищенный обмен электронными документами с контрагентами (если ваша компания еще этого не сделала). 
Автор статьи:
Дмитрий Соколов, начальник департамента
информационной безопасности компании Такснет-Сервис.

 

 

 


Другие статьи