Российские компании становятся жертвами нового мощного троянца

Александр Панасенко 09 Сентября 2016 - 17:06

...

Российские компании становятся жертвами нового мощного троянца

«Лаборатория Касперского» обнаружила, что многие крупные организации в России пострадали от шифровальщика RAA. Троянец не только делает файлы нечитаемыми, но и загружает на устройство программу Pony для кражи паролей, позволяющую получить доступ к почтовым аккаунтам жертвы.

Вероятно, это помогает злоумышленникам проводить целевые атаки: рассылая вредоносные письма по адресному списку пострадавшего от его имени, они тем самым усыпляют бдительность новых потенциальных жертв.

Шифровальщик RAA полностью написан на языке JScript, что является редкостью среди зловредов этого типа. Распространяется он через электронные письма, имитирующие уведомления о просроченном платежном поручении. Чтобы затруднить обнаружение зловреда антивирусными средствами, злоумышленники используют архивацию. Вредоносный файл c расширением .js вложен в письмо в виде архива, защищенного паролем, который также указан в сообщении. Шифровальщик начинает свое действие после того, как пользователь распаковывает архив и запускает js-файл. Для придания письму убедительности мошенники добавляют, что из соображений безопасности прикрепленный документ защищен также методом асимметричного шифрования.

Скриншот электронного письма, через которое распространяется шифровальщик RAA

Троянец RAA активно развивается. Его новая версия, появившаяся в августе, не запрашивает ключ для шифрования у сервера управления, а создает, шифрует и хранит его на зараженном устройстве, благодаря чему зловред может блокировать доступ к файлам также и на компьютерах, не подключенных к Интернету.

«Судя по всему, RAA был создан для проведения целевых атак на бизнес. Шифровальщик, распространяющийся с программой для кражи паролей, — это весьма опасный зловред, который помогает киберпреступникам неплохо заработать, ведь они могут не только получить выкуп, но и расширить список потенциальных жертв в результате сбора конфиденциальных данных. Угроза усугубляется еще и тем, что новая версия RAA умеет делать нечитаемыми файлы на компьютерах, не имеющих интернет-доступа», — комментирует Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

По данным «Лаборатории Касперского», за прошедший год программами-шифровальщиками были атакованы 38% российских компаний*. Чтобы снизить риск заражения и не пополнить этот список, «Лаборатория Касперского» рекомендует компаниям использовать надежные защитные решения с возможностями эвристического анализа; регулярно обновлять ПО на корпоративных устройствах и проводить оценку уровня защищенности IT-инфраструктуры; повышать осведомленность сотрудников о киберугрозах и предупреждать их о том, чтобы они не открывали файлы с опасными расширениями, такими как .exe, .hta, .wsf, .js, и в целом внимательно относились к получению писем от неизвестных отправителей.

«Лаборатория Касперского» детектирует шифровальщик RAA как Trojan-Ransom.JS.RaaCrypt, а распространяющуюся с ним программу Pony для кражи паролей как Trojan-PSW.Win32.Tepfer.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 27 Марта 2026 - 12:17

Мошенничество Онлайн-мошенничество Домашние пользователи

Появилась новая схема угона аккаунтов на Госуслугах

Злоумышленники начали использовать новую двухэтапную схему для кражи учётных записей на Госуслугах и в онлайн-банках. Формальным поводом для запуска атаки служит якобы обновление медицинских данных. Эта схема применяется не только против россиян, но и против граждан Белоруссии.

Как сообщает РИА Новости, обычно мошенники выходят на связь через мессенджеры, чаще всего через Telegram. Похожая схема также получила распространение в Белоруссии, о чём сообщают местные СМИ и ряд территориальных органов МВД страны.

На первом этапе злоумышленники представляются медицинскими работниками. Под предлогом обновления данных медицинской карты они просят сообщить возраст, рост, вес, а также пожаловаться на самочувствие. После этого лже-медик просит указать в чате номер телефона, на который якобы поступит голосовой звонок для подтверждения данных.

Затем начинается вторая фаза. В разговор вступает якобы сотрудник Госуслуг, который сообщает о попытке взлома аккаунта. Он просит назвать код из СМС, который на самом деле используется для получения доступа к учётной записи на Госуслугах или в личном кабинете онлайн-банка.

Встречаются и другие варианты развития схемы. Например, вместо сотрудника Госуслуг с жертвой может связаться лже-сотрудник правоохранительных органов. Такой сценарий особенно распространён в Белоруссии, но встречается и в России.

Как отметил депутат Госдумы Сергей Леонов, в некоторых случаях мошенники начинают атаку не с переписки, а с голосового звонка. В качестве повода может использоваться приглашение на диспансеризацию.

«Настоятельно рекомендую быть бдительными. Если вам поступил звонок от поликлиники якобы с приглашением на диспансеризацию и просьбой назвать данные паспорта и СНИЛС для этого, то кладите сразу же трубку. Ни в коем случае не называйте никакие персональные данные. Тем более не называйте никогда код из СМС якобы для подтверждения записи к врачу — это мошенники. Лучше сразу положить трубку, найти телефон поликлиники на сайте и перезвонить напрямую», — такие рекомендации дал депутат.

«Каждый код — это открытие доступа аферистам в вашу жизнь», — напомнила официальный представитель МВД России Ирина Волк.

Первые попытки использования этой схемы были зафиксированы в Ростовской области ещё в декабре. Тогда мошенники допускали много несоответствий — например, использовали номера других регионов, что вызывало подозрения у потенциальных жертв.

В конце марта злоумышленники снова активизировали эту тему. Так, 24 марта о новой волне таких атак писала газета «Тульская пресса».

Кроме того, в январе уже фиксировалось несколько волн атак, направленных на кражу аккаунтов на Госуслугах. Тогда для этого использовались телеграм-боты, а предлогами служили актуализация данных для компаний в сфере ЖКХ или акции маркетплейсов.