4 февраля 2016

Троянец.PDF: новая эпидемия шифровальщика Scatter

Безопасность Новости Угрозы

Типичная история заражения шифровальщиком Scatter выглядит примерно следующим образом. Секретарь небольшой фирмы получает письмо, озаглавленное, скажем, так: «Налоговая и документы». В грамотном и вполне осмысленном тексте письма некий партнер, с которым фирма якобы сотрудничает, просит переслать ему некие документы, касавшиеся совместных операций партнера и этой фирмы, — они были утеряны, и теперь «партнеру» докучает налоговая.

Троянец.PDF: новая эпидемия шифровальщика Scatter

Список требуемых документов, по словам автора письма, находится во вложении, однако как такового вложения нет — есть только ссылка вроде «Подтверждающая документация.pdf», которая на самом деле ведет не на PDF-файл, а на JavaScript-код с расширением .JS.

При запуске этот код скачивает и запускает исполняемый файл — собственно троянца-шифровальщика Scatter. А заодно устанавливает еще пару зловредов: DDoS-бота Nitol и троянца Pony, промышляющего воровством паролей. Такой вот «полный комплект документов».

В одной небольшой компании в целях безопасности на компьютере секретаря был установлен Linux — на этой системе исполняемые файлы .EXE просто не запустятся. Но секретарь, не слишком знакомый с кибербезопасностью, переслал письмо бухгалтеру с пометкой «Для налоговой», а тот на своей Windows-машине кликнул-таки по ссылке, заразив компьютер.

Ну а поскольку никакие документы при нажатии на ссылку почему-то не скачались, бухгалтер переслал ее коллеге со словами: «У меня не открывается, попробуй ты» — так была заражена еще одна машина.

Что делает Scatter? Как и все трояны-шифровальщики, он шифрует файлы некоторых типов (обычно документы Word, таблицы Excel и картинки JPEG) и требует выкуп за расшифровку. То есть это типичный представитель своего рода, разве что в данном случае злоумышленники предусмотрели «окно техподдержки», чтобы объяснять пользователю, как правильно платить им деньги, — подобный «сервис» пока встречается нечасто, но уверенно набирает популярность.

Scatter, принадлежащий к семейству Trojan-Ransom.Win32.Scatter и также известный как VaultCrypt, — это уже достаточно немолодой зловред: «Лаборатория Касперского» регистрировала атаки в течение всего 2015 года.

Однако в январе сотрудники «Лаборатории Касперского» наблюдали очередную крупную атаку трояна-шифровальщика Scatter, и на этот раз злоумышленники рассылают его более совершенную модификацию. Целью же является в основном малый и средний бизнес в России.

О том, что Scatter ориентирован именно на бизнес, можно догадаться по динамике детектирования: на новогодние праздники злоумышленники вместе со всей страной взяли выходной, а с 11 января вновь начали планомерное и масштабное наступление. При этом в субботу и воскресенье интенсивность детектирования снижается.

Троянец.PDF: новая эпидемия шифровальщика Scatter

К сожалению, Scatter эволюционирует. Ранние версии троянца были не слишком проработанными, в результате «Лаборатории Касперского» удалось создать специальную бесплатную утилиту ScatterDecryptor, позволявшую восстановить зашифрованные файлы и не платить злоумышленникам выкуп. Однако киберзлодеи зачастую быстро учатся на своих ошибках: последние версии Scatter, которые активно рассылаются сейчас, шифруют файлы так, что расшифровать их, не имея на руках ключей, невозможно.

То есть бороться со Scatter надо превентивно. Как?

1. В современном мире обязательно надо знать азы киберграмотности. Если бы секретарь обратил внимание на подозрительную ссылку, то он, наверное, не пересылал бы письмо, а первым делом подозвал бы системного администратора. Недостаточно, если все это понимаете только вы сами, — это должны знать и все ваши сотрудники. Иначе кто-то все же непременно кликнет по ссылке.

2. От заражения троянцем-шифровальщиком спасет хороший антивирус. Например, Kaspersky Internet Security не позволяет шифровать файлы на диске: даже если вам попадется какой-то невероятно свежий шифровальщик, который еще не успел попасть в антивирусные базы, у него все равно ничего не получится. Ну а в случае Scatter все модификации этого зловреда известны всем продуктам «Лаборатории Касперского».

3. Наконец, вся эта история ничуть не помешала бы работе, если бы бухгалтерия достаточно часто делала бэкапы. Этот процесс можно автоматизировать, установив Kaspersky Total Security.