Троян-шифровальщик атакует бизнес

Челябинская компания подверглась атаке хакеров, результатом которой стала утеря ценной коммерческой информации. Спам с вирусом рассылался от одного из партнеров фирмы, который заявляет, что никакого отношения к действиям киберпреступников не имеет. Кое-кто из пострадавших уже утверждает, что компании столкнулись с целенаправленным нападением на российский рынок из-за рубежа.

«На наш ящик пришло письмо с запросом документов для налоговой проверки от наших партнеров из Санкт-Петербурга, компания «Стройхаус», – рассказывает директор челябинской компании «АлКон Инвест» Дмитрий Кратвольд. – Когда мы открыли содержащийся в письме архив, все документы и некоторые программы оказались заблокированы».

На следующий день, позвонив в «Стройхаус», руководство «АлКон Инвест» выяснило, что питерская компания не только не отправляла это письмо, но и сама подверглась аналогичной атаке.

Через несколько дней на номер мобильного телефона Дмитрия Кратвольда пришло SMS-сообщение о смене пароля почтового ящика. Директор челябинской компании еще раз оперативно сменил пароль, однако, по его словам, оказалось уже поздно. «Начиная с этого времени, я принимаю звонки от наших клиентов, – продолжает Дмитрий. – У них также при открытии архива заблокировались все документы на компьютерах».

По словам Кратвольда, все клиенты являются юридическими лицами. От хакерской атаки пострадали компьютеры главных бухгалтеров, директоров, украдено «много ценной информации, имеющей непосредственное отношение к хозяйственной, коммерческой и производственной деятельности организаций, базы контрагентов, и непонятно, какой еще информации, и как, и кто ей воспользуется в дальнейшем».

«Сопоставив информацию, которую получили наши компаньоны из компании «Стройхаус», и учитывая отношение к нашей стране в мире, мы делаем вывод о том, что идет хакерская атака на российский рынок», – заключил директор «АлКон Инвест».

Компания «Стройхаус» опубликовала на своем сайте уже несколько сообщений о хакерской атаке. В одном из них говорится, что «более 2000 партнеров компании и более 5000 случайных компаний России получили будто бы с почты «Стройхауса» спам-рассылку с вирусом, который убивает всю информацию на жестком диске».

Письмо было следующего содержания (орфография и пунктуация сохранены):

Здравствуйте, к нам заявились сотрудники налоговой с внеплановой проверкой((

Я уже второй день пытаюсь найти отдельные первичные документы, касающиеся нашего сотрудничества. Однако некоторые документы, судя по всему, были нами утеряны в ходе переезда в новый офис.

Мы составили список документов (в приложении).

Прошу Вас помочь с поиском... Скиньте хотя бы скан-копии, а то мы влетим на штрафы.

«Стройхаус» предупреждает, что письмо не имеет к компании никакого отношения. «В приложенном файле» (Список документов.zip) содержится вирус, который шифрует весь жесткий диск компьютера и парализует работу любого предприятия, – говорится в сообщении питерской фирмы. – Письмо отправлено не с нашего почтового ящика и не нашим сотрудником, а путем подмены данных в заголовке письма, при этом была использована база рассылок, взятая из Интернета».

По мнению руководства компании «Стройхаус», «данный инцидент говорит лишь об одном: конкуренты переходят к нечестной игре».

Чуть позже компания опубликовала результаты проведенного внутреннего расследования этого происшествия. Оказалось, что сервер рассылки расположен в США, а заказчик рассылки – в Германии.

Алексей Оськин, руководитель отдела технического и маркетингового сопровождения ESET Russia:

– Речь идет о заражении программой-шифратором. Как правило, вредоносное ПО этого класса блокирует доступ к рабочим документам и требует выкуп за расшифровку. Среди возможных последствий заражения – шифрование конфиденциальной информации и файлов, в том числе баз данных 1С, документов, изображений. Процесс шифрования выполняется согласно сложным алгоритмам, вследствие чего зашифрованные данные сложно восстановить.

Для снижения риска заражения шифратором необходимо соблюдать следующие требования безопасности:

• убедитесь, что на ваших компьютерах включены настройки автоматических обновлений операционной системы и установлены все критические обновления;

• злоумышленники могут использовать уязвимость в протоколе удаленного рабочего стола (RDP), поэтому мы рекомендуем закрыть доступ к RDP извне и разрешить подключения по RDP только в пределах локальной сети;

• использовать антивирусные решения со встроенным модулем файервола, чтобы снизить вероятность использования злоумышленником уязвимости в RDP даже в отсутствие обновлений операционной системы;

• запретить прием и передачу исполняемых файлов *.exe и *.js на почтовом сервере;

• запретить выполнение макросов во всех приложениях, входящих в пакет Microsoft Office, либо в аналогичном ПО сторонних производителей, поскольку макросы могут содержать команду для загрузки и выполнения вредоносного кода, которая запускается при обычном просмотре документа;

• регулярно осуществлять резервное копирование важной информации, хранящейся на компьютере.

Если вы стали жертвой, и ваши файлы зашифрованы, не спешите переводить на счет мошенников деньги для подбора дешифратора. Обратитесь в техническую поддержку своего поставщика антивирусных решений.

Денис Маркушин, технологический эксперт «Лаборатории Касперского»:

– Инцидент, с которым столкнулась организация, является следствием типичной атаки с использованием вредоносного ПО, которое шифрует данные на жестком диске. Это ПО также известно как троян-«шифровальщик» или троян-вымогатель: после шифрования важных файлов злоумышленники, как правило, начинают требовать за дешифровку выкуп. Так, за 2014 год одни только пользователи «Лаборатории Касперского» столкнулись с более чем 7 миллионами попыток атак с использованием шифровальщиков или вымогателей. Сейчас эти вредоносные программы, как правило, распространяются с помощью спама или атак на системы удаленного управления.

Зачастую жертвами становятся компании – им проще заплатить, чем лишиться важной информации, такой как финансовые данные, данные о клиентах и тому подобное. При этом, как правило, в случае заражения корпоративного компьютера аппетиты злоумышленников возрастают в среднем в 5 раз по сравнению с расценками для обычных пользователей. Мы знаем прецеденты, когда у организаций за расшифровку файлов требовали порядка 300 тысяч рублей. Оплату злоумышленники часто предпочитают получать в криптовалюте Bitcoin, которая может обеспечить им необходимую анонимность.

В случае успешного шифрования файлов и при отсутствии резервной копии шансов вернуть свои данные у пользователя почти нет. Самостоятельная дешифровка возможна, только если злоумышленники допустили ошибки при проектировании или реализации криптосхемы. И такие случаи в настоящее время достаточно редки. В данном случае пострадавшей стороне необходимо обратиться в правоохранительные органы для проведения расследования по данному инциденту.

Для того чтобы не столкнуться с активностью трояна-вымогателя, мы рекомендуем нашим пользователям:

• сделать резервные копии важных файлов и разместить их на отдельном носителе либо на другом компьютере;

• игнорировать письма с подозрительными вложениями и ссылками, даже если они якобы присланы арбитражным судом или иным официальным органом. В случае возникновения каких-либо сомнений стоит связаться с приславшей письмо организацией по телефону или электронной почте, указанной на официальном сайте;

• установить современное антивирусное ПО.

Алексей Михайлов, специалист компании «Доктор Веб»:

– Судя по всему, речь идет о заражении троянцем-шифровальщиком семейства BAT.Encoder. Эти вредоносные программы распространяются под видом вложенных в электронные письма документов и сегодня представляют масштабную угрозу. В службу технической поддержки «Доктор Веб» с середины июля 2014 года поступило около 380 заявок в связи с аналогичными случаями, в целом же по «энкодерам» ежемесячное количество заявок исчисляется тысячами, постоянно возрастая. Советы по обеспечению безопасности просты: необходимо использовать актуальную версию антивируса со включенной функцией превентивной защиты, не забывать о своевременном резервном копировании важных документов и критически относиться к письмам с вложениями, особенно из незнакомых или сомнительных источников.