Uwaga na Nemucod! Nr. 1 ransomware w Polsce!
Od czasu do czasu poziom rozprzestrzeniania się niektórych wirusów lub ransomware w obrębie kilku dni w danym kraju może być szczególnie wysoki. W tym czasie użytkownicy są szczególnie narażeni na potencjalne zagrożenie. W większości ze względu na duże prawdopodobieństwo natrafienia przy dużej ilości jego występowania oraz niezaktualizowane bazy systemów antywirusowych.
W ostatnich dniach w Polsce absolutną pierwszą pozycję osiągnał „Nemucod„. Jest to już wcześniej nam znany trojan, który zazwyczaj próbuje pobrać innego wirusa z internetu.
Wykrywalność w ostatnich tygodniach w innych krajach jak i globalnie również była bardzo wysoka. Nie skupia się na zainfekowaniu konkretnych krajów a obiera za cel jak największą liczbę instancji.
Dostałeś (zainfekowanego) maila
Tak jak było to w przypadku innych kampanii malware, które przeanalizowaliśmy atakujący również wybrali drogę mailową jako główny sposób instalacji. Podszywające się pod maile z fakturami(invoice) lub skanami dokumentów(SCAN) próbuję przekonać użytkownika do otwarcia załącznika (plik ZIP). Nadawcą wiadomości najczęściej jest inny użytkownik, którego komputer został zainfekowany a więc malware rozsyła się tak długo jak ma dostępnych potencjalnych „odbiorców”.
Gdy otworzymy załaczony plik ZIP znajdziemy nieco inną stukturę niż w przypadku innych malware. Zamiast pliku EXE znajdziemy w nim plik Javascript’u. Ta technika prawdopodobnie została wykorzystana aby ominąć skanery pocztowe oraz zwiększyć tym samym zasięg potencjalnych ofiar.
Javascript by pobrać Payload
Javascript może być tak samo niebezpieczny jak plik EXE. Jeżeli spojrzymy w kod znajdujący się w pliku znajdziemy kilka interesujących informacji. Pierwszą jest używanie losowych nazw dla nazw zmiennych. Oprócz tego możemy zobaczyć dwie tablice, które prawodpoobnie są używane do ukrywania adresów IP oraz domen używanych przez twórców tego malware. Odmiana, która w ostatnich dniach rozprzestrzenia się w naszym kraju pobiera ransomware, który szyfruje dysk oraz rząda okupu za klucz do jego odszyfrowania.
Kilka rad zapobiegawczych
*pamiętajcie aby nie otwierać załączników przesłanych od nieznajomych (lub załaczników których nie spodziewaliśmy się otrzymać). Gdy mamy wątpliwości z pomocą może nam przyjść strona www.virustotal.com(powyższy zrzut został wykonany przy użyciu skanera z tej strony), na którą możemy uploadować załącznik i przeskanować go kilkudziesięcioma napopularnijeszymi bazami systemów antywirusowych
*backup – wiem jak czasami ciężko jest się zmusić aby wykonać kopię naszych plików. Dla wygody można kupić „WD My Cloud’a” lub stworzyć samemu domowy nośnik, który będzie wykonywał dla nas kopie zapasowe automatycznie.
*aktualizacja baz programówi antywirusowych to podstawa. Bez aktualnej bazy jesteśmy tak samo podatni jak bez antywirusa.