Scatter
Типичная история заражения шифровальщиком Scatter выглядит примерно следующим образом. Секретарь небольшой фирмы получает письмо, озаглавленное, скажем, так: «Налоговая и документы». В грамотном и вполне осмысленном тексте письма некий партнер, с которым фирма якобы сотрудничает, просит переслать ему некие документы, касавшиеся совместных операций партнера и этой фирмы, — они были утеряны, и теперь «партнеру» докучает налоговая.
Список требуемых документов, по словам автора письма, находится во вложении, однако как такового вложения нет — есть только ссылка вроде «Подтверждающая документация.pdf», которая на самом деле ведет не на PDF-файл, а на JavaScript-код с расширением .JS.
При запуске этот код скачивает и запускает исполняемый файл — собственно троянца-шифровальщика Scatter. А заодно устанавливает еще пару зловредов: DDoS-бота Nitol и троянца Pony, промышляющего воровством паролей. Такой вот «полный комплект документов».
Расценки во вложении, троянец — в подарок: https://t.co/iQYwGE0XYG pic.twitter.com/lE0seQe00c
— Kaspersky (@Kaspersky_ru) January 30, 2016
В одной небольшой компании в целях безопасности на компьютере секретаря был установлен Linux — на этой системе исполняемые файлы .EXE просто не запустятся. Но секретарь, не слишком знакомый с кибербезопасностью, переслал письмо бухгалтеру с пометкой «Для налоговой», а тот на своей Windows-машине кликнул-таки по ссылке, заразив компьютер.
Ну а поскольку никакие документы при нажатии на ссылку почему-то не скачались, бухгалтер переслал ее коллеге со словами: «У меня не открывается, попробуй ты» — так была заражена еще одна машина.
Жертв программ-шифровальщиков уже больше 7 млн за год: http://t.co/03Pg9LfIvj
— Kaspersky (@Kaspersky_ru) March 3, 2015
Что делает Scatter? Как и все трояны-шифровальщики, он шифрует файлы некоторых типов (обычно документы Word, таблицы Excel и картинки JPEG) и требует выкуп за расшифровку. То есть это типичный представитель своего рода, разве что в данном случае злоумышленники предусмотрели «окно техподдержки», чтобы объяснять пользователю, как правильно платить им деньги, — подобный «сервис» пока встречается нечасто, но уверенно набирает популярность.
Scatter, принадлежащий к семейству Trojan-Ransom.Win32.Scatter и также известный как VaultCrypt, — это уже достаточно немолодой зловред: «Лаборатория Касперского» регистрировала атаки в течение всего 2015 года.
Как ваш ПК могут заразить всего одним письмом, которое вы даже не открывали: https://t.co/kssNhcSXDY pic.twitter.com/gzXMQA26wb
— Kaspersky (@Kaspersky_ru) December 18, 2015
Однако в январе сотрудники «Лаборатории Касперского» наблюдали очередную крупную атаку трояна-шифровальщика Scatter, и на этот раз злоумышленники рассылают его более совершенную модификацию. Целью же является в основном малый и средний бизнес в России.
О том, что Scatter ориентирован именно на бизнес, можно догадаться по динамике детектирования: на новогодние праздники злоумышленники вместе со всей страной взяли выходной, а с 11 января вновь начали планомерное и масштабное наступление. При этом в субботу и воскресенье интенсивность детектирования снижается.
К сожалению, Scatter эволюционирует. Ранние версии троянца были не слишком проработанными, в результате «Лаборатории Касперского» удалось создать специальную бесплатную утилиту ScatterDecryptor, позволявшую восстановить зашифрованные файлы и не платить злоумышленникам выкуп. Однако киберзлодеи зачастую быстро учатся на своих ошибках: последние версии Scatter, которые активно рассылаются сейчас, шифруют файлы так, что расшифровать их, не имея на руках ключей, невозможно.
То есть бороться со Scatter надо превентивно. Как?
1. В современном мире обязательно надо знать азы киберграмотности. Если бы секретарь обратил внимание на подозрительную ссылку, то он, наверное, не пересылал бы письмо, а первым делом подозвал бы системного администратора. Недостаточно, если все это понимаете только вы сами, — это должны знать и все ваши сотрудники. Иначе кто-то все же непременно кликнет по ссылке.
Насколько вы киберграмотны? Пройдите наш тест прямо сейчас и узнайте! https://t.co/MBmnaEHl3v pic.twitter.com/NHmVZoykFJ
— Kaspersky (@Kaspersky_ru) December 11, 2015
2. От заражения троянцем-шифровальщиком спасет хороший антивирус. Например, Kaspersky Internet Security не позволяет шифровать файлы на диске: даже если вам попадется какой-то невероятно свежий шифровальщик, который еще не успел попасть в антивирусные базы, у него все равно ничего не получится. Ну а в случае Scatter все модификации этого зловреда известны всем продуктам «Лаборатории Касперского».
Как защитить свои ценные файлы от программ-вымогателей: https://t.co/hVvSBaX3fJ pic.twitter.com/KqX2P9Kfcv
— Kaspersky (@Kaspersky_ru) December 23, 2015
3. Наконец, вся эта история ничуть не помешала бы работе, если бы бухгалтерия достаточно часто делала бэкапы. Этот процесс можно автоматизировать, установив Kaspersky Total Security.
Советы