Компания Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений и мошенничеств с использованием высоких технологий, сообщила об атаке вируса-вымогателя Troldesh на российские компании. Злоумышленники рассылают письма якобы с почтовых ящиков крупных авиакомпаний, автодилеров и СМИ. Об этом рассказывает РБК.

В июне специалисты Group-IB обнаружили более 1,1 тыс. фишинговых писем, содержащих Troldesh (также известен как Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome). Этот вирус шифрует файлы на зараженном устройстве пользователя и требует у них выкуп, чтобы восстановить доступ к информации. В последнее время, как утверждает Group-IB, данный вирус не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

В качестве примеров компаний, от имени которых приходят такие вирусные рассылки, Group-IB называет автодилеров KIA и «Рольф», а также авиакомпанию «Полярные авиалинии», среди СМИ указаны РБК и «Новосибирск-online».

В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть прикрепленный файл — запароленный архивный файл, в котором содержатся подробности «заказа». Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения, предупреждает Group-IB.

Впервые активность Troldesh эксперты Group-IB зафиксировали еще в 2015 году. Предыдущая масштабная кампания Troldesh была в марте этого года, когда вирусная рассылка шла от лица известных ритейлеров, а также финансовых и строительных компаний. В частности, письма приходили от имени «Ашана», «Магнита», «Славнефти» и ГК «ПИК». За полгода до этого письма приходили от Газпромбанка, банка «Открытие», Бинбанка, ГК «Дикси», Metro Cash & Carry и Philip Morris.

В ходе мартовской атаки злоумышленники прикрывались именами более пятидесяти фирм, названия которых у всех на слуху. Очевидно, такая стратегия продиктована общеизвестными постулатами социальной инженерии: у сообщения от известного отправителя больше шансов быть открытым, чем у послания, автор которого адресату совершенно незнаком.

Ссылка, якобы ведущая на официальный сервер компании-отправителя, на самом деле направляла потенциальную жертву совершенно в другое место – это были взломанные сайты, работающие под управлением WordPress или Joomla. И скрипт-загрузчик, и собственно энкодер злодеи хранили в открытых на запись папках <site>/content/icons/, <site>/templates/, <site>/wp-admin/css/ или <site>/wp-content/themes/.

При нажатии на ссылку с удаленного хоста скачивался ZIP-архив, внутри которого хранился скрипт-загрузчик, написанный на JScript. Чтобы скрипт выполнился, пользователь должен самостоятельно извлечь из архива и попытаться открыть этот файл.

Первые случаи заражения Trojan.Encoder.858 датируются еще 2015 годом, при этом вредонос, скорее всего, является потомком другого шифровальщика — Trojan.Encoder.686, распространение которого началось на год раньше, в июле 2014-го. 686-я модификация, названная его создателями CTB-Locker, успешно продавалась на одном из хакерских форумов. Троян активно использует возможности OpenSSL и эллиптическую криптографию, а для генерации случайных данных применяет CryptoAPI. Зашифрованные файлы получали расширение .ctbl.

Энкодер собирает информацию об инфицированной машине, а именно определяет версию операционной системы, серийный номер дискового раздела, из которого запущен исполняемый файл, имя компьютера и тип установленного на нем процессора. На основе этих данных формируется уникальный для каждой инфицированной машины ключ. Этот ключ сохраняется в ветви реестра.

Файлы на всех локальных и подключенных к машине сетевых дисках шифруются с использованием алгоритма AES (Advanced Encryption Standard) в режиме CBC (Cipher Block Chaining), при этом для каждого файла создается отдельный ключ при помощи генератора псевдослучайных чисел. Этот ключ шифруется полученным через Tor ключом RSA и сохраняется в зашифрованном файле. Для файлов, имеющих атрибут Read Only, перед шифрованием указанный атрибут сбрасывается. На прощание троян удаляет все точки восстановления системы.

Если повезет, часть зашифрованных вредоносом данных удастся спасти с помощью утилит восстановления удаленных файлов. Что-то может сохраниться в теневых копиях Windows.

Самый действенный метод борьбы с энкодерами — своевременное резервное копирование всех актуальных файлов, причем желательно — на внешний носитель. Если сам позаботиться о сохранности информации, то шифровальщики будут не страшны.