По данным компании ESET международного разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности предупреждает: в последнее время участились случаи проникновения вирусов - вымогателей в компьютерные системы, средствами рассылки писем по электронной почте.

Характерные особенности подобных писем:

  • Спам рассылка нацелена на списки адресов различных компаний. Письма представлены в виде различных известных компаний, сетевых магазинов и торговых марок.
  • Явное несоответствие указанного корреспондента и электронного адреса, с которого было отправлено письмо (корреспондент, адрес отправителя и текст письма призваны нести в себе заинтересованность открыть письмо, разархивировать и запустить файл во вложении).
  • Письмо содержит вложения, где в имени файла больше одного расширения. Обычно письма могут выглядеть следующим образом: в письме находятся вложенные файлы (это могут быть ZIP архивы, или множество архивов). Архив может содержать внутри себя еще один архив, заставляющий производить разархивацию быстрее и быстрее, пока пользователь не запустит вложение «Информация.js». Этот Java-Script, являющийся загрузчиком вредоносного программного обеспечения, по классификации ESET идентифицирует его, как Win32/Injector.

Вирус - вымогатель Shade распространяется в русскоязычном сегменте сети Интернет благодаря загрузчику Win32/Injector. Который запускает загрузку вымогателя Shade, появившегося в начале 2015 года, способного зашифровать многие данные на вашем жестком диске. Шифрование настроено, на наиболее важные для пользователя данные: фотографии, архивы, самые распространенные расширения офисного программного обеспечения.

При шифровании файлов, их названия шифруются и отображаются, как неразборчивый случайный набор букв и цифр, расширение зашифрованных файлов становится: «.xtbl» или «.ytbl».

Вымогатель, способен оставлять, на любых дисках, ложные инструкции в виде текстовых файлов, нацеленные на мотивирование пользователя осуществить оплату выкупа. Данные инструкции, обычно встречаются на русском и английском языках. Средство антивирусной защиты ESET NOD32 определяет вирус шифровальщик, как Win32/Filecoder.Shade

Еще один способ распространения вымогателя – через эксплойт, использующий уязвимости в SMB протоколе. Данный способ не требует запуска почтовых вложений и является наиболее опасным. Заражение происходит при посещении пользователем вредоносных сайтов.

Активность распространения вируса на территории России, сейчас составляет порядка 52% от общей массы встречаемых вирусов вымогателей. Атака осуществляется не только по российским интернет пользователям, но и по Украине, Японии, Германии. Вирусы могут модифицироваться, менять название архивов, вложений, адреса отправителей и текст содержимого спам-рассылки.

При получении подобных писем настоятельно рекомендуется:

  • Создавать резервные копии наиболее важных для вас данных;
  • Не открывать подобные письма и вложения от неизвестных отправителей;
  • Если заражение уже началось, не стоит идти на поводу у вымогателей. Немедленно отключить компьютер от компьютерной сети и обратиться к квалифицированным ИТ специалистам;
  • Не публикуйте свои почтовые адреса на различных сайтах, форумах, социальных сетях это может избавить Вас от попадания в рассылки.

Для защиты ваших устройств от заражения:

Устанавливайте антивирусную продукцию, позволяющую защитить ваши важные данные от вируса - вымогателя Shade, своевременно обновляйте базы антивирусной защиты.