Буквально за три последних дня, ко мне обратилось сразу несколько знакомых с вопросом про странное письмо из арбитражного суда. Один раз мне его даже переслали с просьбой открыть, благо самостоятельно открывать его пытались на Mac и на iPad, потому всё обошлось без последствий.
Догадались о чем речь? Именно так, в большинстве случаев люди приобретают себе вирусы-шифровальщики. Вирус шифрует пользовательские файлы - текстовые документы, фотографии, базы данных 1С, электронные таблицы и pdf. Это просто бич какой-то, при условии что найти дешифратор под каждый конкретный экземпляр практически невозможно.
Вымогатель часто маскируется под письмо из арбитражного суда, с грозной темой СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО!
Обратный адрес не сложно подделать, потому не стоит обращать внимание на то что отправителем значится адрес noreply@arbitr.ru. Удаляйте его смело и счастье придет в ваш дом.
Посмотрев содержимое письма в виде кода, решил привести код ссылки на вирус из него в ознакомительных целях (адрес почты заменен):
<a href="https://www.salon-tayna.ru/assets/stat.php?
PID=AMS_3572&MLID=74&GID=441&EML=*****@mail.ru&
RD=https://ivanvlasov.ru/images/arbitrinform.zip"
data-vdir-href="https://mail.yandex.ru/re.jsx?
h=a,1sCHM2WFF0IqxrW1HaBXxQ&
l=aHR0cDovL3d3dy5zYWxvbi10YXluYS5ydS9hc3NldHMvc3RhdC5waHA_UElEPUFNU
18zNTcyJk1MSUQ9NzQmR0lEPTQ0MSZFTUw9cHJhdm8tbm5AbWFpbC5ydSZSRD1od
HRwOi8vaXZhbnZsYXNvdi5ydS9pbWFnZXMvYXJiaXRyaW5mb3JtLnppcA"
data-orig-href="https://www.salon-tayna.ru/assets/stat.php?PID=AMS_3572&
MLID=74&GID=441&EML=*****@mail.ru&
RD=https://ivanvlasov.ru/images/arbitrinform.zip" class="daria-goto-anchor"
target="_blank">ПРОВЕРИТЬ ИНФОРМАЦИЮ</a>
Поясняю этот малопонятный набор символов (кстати, на данный момент тут написана вполне рабочая ссылка на вирус. надеюсь администрация указанных сайтов это быстро прикроет). Значит что мы тут видим?
В самом письме вируса нет! Потому любой антивирус ничего не заподозрит и позволит вам открыть данное письмо, однако при нажатии на ссылку < ПРОВЕРИТЬ ИНФОРМАЦИЮ >, вы самостоятельно загружаете себе архив с вирусом (в данном случае файл arbitrinform.zip.
Любопытен тот факт, что злоумышленник для распространения вируса использует взломанные сайты, я сильно сомневаюсь что владельцы ресурсов www.ivanvlasov.ru, с которого качается вирус-вымогатель и www.salon-tayna.ru, где предположительно ведется статистика скачиваний или чего-то там еще, давали согласие на размещение этого безобразия на их ресурсах. Крайними, в случае чего, сделают именно эти сайты. Я постараюсь связаться с администрацией данных ресурсов и предупредить о том, что с их сайтов качаются вирусы.
Но вернемся к самому вирусу-вымогателю. Даже загрузив файл с вирусом себе на компьютер вы все равно еще не заразили его, сам шифровальщик сидит внутри архива arbitrinform.scr, запустив который вы практически подписываете всем своим документам смертный приговор.
ВНИМАНИЕ! Новый вирус-шифровальщик
КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур комрады! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов.
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу,
на жалкие бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 00000100
KORSARS@POST.COM
Забавное сообщение? Это только на первый взгляд... новый вирус шифрует файлы (документы, изображения, mp3), после чего тело вируса удаляется с компьютера. И это уже приобретает масштаб эпидемии.
Вирус-шифровальщик, предположительно распространяется в почтовых сообщениях в виде исполняемого файла и, на данный момент, пропускается ВСЕМИ антивирусами! Во всяком случае ни Касперский, ни DrWeb ничего обнаружить не смогли. Конечно, вина лежит на самих пользователях, которые запускают всё без разбора, но факт остается фактом.
Пользователям остается связываться с вымогателями по почте, отсылать некую денежную сумму, на которую сговорятся и получать дешифратор. Причем, в каждом конкретном случае дешифратор свой.
На форумах техподдержки обоих антивирусов уже более сотни страниц с просьбой решить проблему, даже есть утилиты-дешифраторы, правда толку от них, как от козла молока.