СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО! Внимание! Поддельные письма из арбитражного суда с вирусом-шифровальщиком

Буквально за три последних дня, ко мне обратилось сразу несколько знакомых с вопросом про странное письмо из арбитражного суда. Один раз мне его даже переслали с просьбой открыть, благо самостоятельно открывать его пытались на Mac и на iPad, потому всё обошлось без последствий.

Догадались о чем речь? Именно так, в большинстве случаев люди приобретают себе вирусы-шифровальщики. Вирус шифрует пользовательские файлы - текстовые документы, фотографии, базы данных 1С, электронные таблицы и pdf. Это просто бич какой-то, при условии что найти дешифратор под каждый конкретный экземпляр практически невозможно.

Вымогатель часто маскируется под письмо из арбитражного суда, с грозной темой СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО!. Обратный адрес не сложно подделать, потому не стоит обращать внимание на то что отправителем значится адрес noreply@arbitr.ru. Удаляйте его смело и счастье придет в ваш дом.

Посмотрев содержимое письма в виде кода, решил привести код ссылки на вирус из него в ознакомительных целях (адрес почты заменен):

<a href="http://www.salon-tayna.ru/assets/stat.php?
PID=AMS_3572&MLID=74&GID=441&EML=#####@mail.ru&
RD=http://ivanvlasov.ru/images/arbitrinform.zip" 
data-vdir-href="https://mail.yandex.ru/re.jsx?
h=a,1sCHM2WFF0IqxrW1HaBXxQ&
l=aHR0cDovL3d3dy5zYWxvbi10YXluYS5ydS9hc3NldHMvc3RhdC5waHA_UElEPUFNU
18zNTcyJk1MSUQ9NzQmR0lEPTQ0MSZFTUw9cHJhdm8tbm5AbWFpbC5ydSZSRD1od
HRwOi8vaXZhbnZsYXNvdi5ydS9pbWFnZXMvYXJiaXRyaW5mb3JtLnppcA" 
data-orig-href="http://www.salon-tayna.ru/assets/stat.php?PID=AMS_3572&
MLID=74&GID=441&EML=#####@mail.ru&
RD=http://ivanvlasov.ru/images/arbitrinform.zip" class="daria-goto-anchor" 
target="_blank">ПРОВЕРИТЬ ИНФОРМАЦИЮ</a>

Поясняю этот малопонятный набор символов (кстати, на данный момент тут написана вполне рабочая ссылка на вирус. надеюсь администрация указанных сайтов это быстро прикроет). Значит что мы тут видим?

В самом письме вируса нет! Потому любой антивирус ничего не заподозрит и позволит вам открыть данное письмо, однако при нажатии на ссылку < ПРОВЕРИТЬ ИНФОРМАЦИЮ >, вы самостоятельно загружаете себе архив с вирусом (в данном случае файл arbitrinform.zip.

Любопытен тот факт, что злоумышленник для распространения вируса использует взломанные сайты, я сильно сомневаюсь что владельцы ресурсов www.ivanvlasov.ru, с которого качается вирус-вымогатель и www.salon-tayna.ru, где предположительно ведется статистика скачиваний или чего-то там еще, давали согласие на размещение этого безобразия на их ресурсах. Крайними, в случае чего, сделают именно эти сайты. Я постараюсь связаться с администрацией данных ресурсов и предупредить о том, что с их сайтов качаются вирусы.

Но вернемся к самому вирусу-вымогателю. Даже загрузив файл с вирусом себе на компьютер вы все равно еще не заразили его, сам шифровальщик сидит внутри архива arbitrinform.scr, запустив который вы практически подписываете всем своим документам смертный приговор. Я уже писал ранее в блоге что делать, если вы подцепили себе вирус-шифровальщик.