Шифровальщик для малого и среднего бизнеса

«Лаборатория Касперского» предупреждает компании, работающие в сегменте малого и среднего бизнеса, об очередной волне распространения троянца-шифровальщика Scatter. Зловред активизировался сразу после новогодних каникул и продолжает активно рассылаться по адресам небольших фирм.

С точки зрения злоумышленников, выбор небольших компаний в качестве цели атаки шифровальщика достаточно логичен. С одной стороны, эти компании кредитоспособны, а с другой, часто следят за безопасностью своей информационной инфраструктуры не так тщательно, как представители крупного бизнеса. При этом, потеря критических бизнес-файлов может нанести им ощутимый ущерб.

Динамика распространения шифровальщика хорошо демонстрирует его бизнес-ориентированность: в новогодние праздники зловред регистрировался нашими технологиями достаточно редко, а с начала первой в году рабочей недели попытки заражения регистрируются в большом количестве. При этом в выходные дни количество случаев детектирования этого троянца уменьшается.

Scatter: шифровальщик для малого и среднего бизнеса

Tweet

Технологии «Лаборатории Касперского» защищают пользователей от троянца Scatter уже более года, однако он по-прежнему популярен у злоумышленников. Основная опасность этого вредоноса заключается в том, что в случае успешного заражения компьютера он шифрует файлы c расширениями xls, doc, rtf, pdf, psd, dwg, cdr, cd, mdb, icd, dbf, sqlite, jpg, jpeg и zip. Причем, расшифровать файлы без ключей злоумышленников невозможно.

Схема заражения

В кампании 2016 года заражение компьютеров жертв происходит следующим образом: злоумышленники рассылают по всем адресам компании однотипные письма, от лица сотрудников какой-то неназываемой в письме компании. Эти сотрудники слезно умоляют прислать копии документов, без которых их ждут штрафы от налоговой. Список этих документов, якобы, находится во вложении.

На самом деле, вложений в письме нет — а то, что злоумышленники пытаются выдать за список документов с расширением pdf (может быть xls, doc или txt) — это ссылка, ведущая на файл в публичном облаке. Файл также замаскирован под текстовый документ, но на самом деле представляет собой Java-скрипт, который при запуске незамедлительно скачивает из интернета шифровальщик Scatter, DDoS-бот Nitol и троянец для кражи паролей Pony. Далее Scatter шифрует все важные файлы и предъявляет жертве требования, объясняя, как связаться со авторами и заплатить выкуп.

Мы, на всякий случай, напоминаем, что выплата требуемой суммы не обязательно приведет к расшифровке вашей информации. Более того, прибыль, полученная злоумышленниками, заставит их продолжать свой преступный бизнес. Единственное разумное действие, которое можно порекомендовать в данном случае — это обращение в правоохранительные органы.

Как избежать опасных последствий

Для того, чтобы не стать жертвой вымогателей мы советуем:

• в очередной раз напомнить всем сотрудникам о том, что отрывать файлы и ссылки, присланные незнакомыми людьми — опасно;
• также напомнить им о том, что если вы открыли файл или ссылку, и не увидели никаких результатов, то не следует пересылать эти ссылки и файлы коллегам, с призывом «попробуйте открыть». Лучше сразу обратиться к системному администратору;
• регулярно производить резервное копирование критичной для бизнеса информации;
• удостовериться что у вас тщательно настроен доступ пользователей к сетевым папкам, чтобы заражение одного компьютера не привело к потере данных на других ПК;
• использовать защитное решение и своевременно его обновлять.