СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО! Внимание! Поддельные письма из арбитражного суда с вирусом-шифровальщиком
Буквально за три последних дня, ко мне обратилось сразу несколько знакомых с вопросом про странное письмо из арбитражного суда. Один раз мне его даже переслали с просьбой открыть, благо самостоятельно открывать его пытались на Mac и на iPad, потому всё обошлось без последствий.
Догадались о чем речь? Именно так, в большинстве случаев люди приобретают себе вирусы-шифровальщики. Вирус шифрует пользовательские файлы - текстовые документы, фотографии, базы данных 1С, электронные таблицы и pdf. Это просто бич какой-то, при условии что найти дешифратор под каждый конкретный экземпляр практически невозможно.
Вымогатель часто маскируется под письмо из арбитражного суда, с грозной темой СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО!. Обратный адрес не сложно подделать, потому не стоит обращать внимание на то что отправителем значится адрес noreply@arbitr.ru. Удаляйте его смело и счастье придет в ваш дом.
Посмотрев содержимое письма в виде кода, решил привести код ссылки на вирус из него в ознакомительных целях (адрес почты заменен):
<a href="http://www.salon-tayna.ru/assets/stat.php? PID=AMS_3572&MLID=74&GID=441&EML=#####@mail.ru& RD=http://ivanvlasov.ru/images/arbitrinform.zip" data-vdir-href="https://mail.yandex.ru/re.jsx? h=a,1sCHM2WFF0IqxrW1HaBXxQ& l=aHR0cDovL3d3dy5zYWxvbi10YXluYS5ydS9hc3NldHMvc3RhdC5waHA_UElEPUFNU 18zNTcyJk1MSUQ9NzQmR0lEPTQ0MSZFTUw9cHJhdm8tbm5AbWFpbC5ydSZSRD1od HRwOi8vaXZhbnZsYXNvdi5ydS9pbWFnZXMvYXJiaXRyaW5mb3JtLnppcA" data-orig-href="http://www.salon-tayna.ru/assets/stat.php?PID=AMS_3572& MLID=74&GID=441&EML=#####@mail.ru& RD=http://ivanvlasov.ru/images/arbitrinform.zip" class="daria-goto-anchor" target="_blank">ПРОВЕРИТЬ ИНФОРМАЦИЮ</a>
Поясняю этот малопонятный набор символов (кстати, на данный момент тут написана вполне рабочая ссылка на вирус. надеюсь администрация указанных сайтов это быстро прикроет). Значит что мы тут видим?
В самом письме вируса нет! Потому любой антивирус ничего не заподозрит и позволит вам открыть данное письмо, однако при нажатии на ссылку < ПРОВЕРИТЬ ИНФОРМАЦИЮ >, вы самостоятельно загружаете себе архив с вирусом (в данном случае файл arbitrinform.zip.
Любопытен тот факт, что злоумышленник для распространения вируса использует взломанные сайты, я сильно сомневаюсь что владельцы ресурсов www.ivanvlasov.ru, с которого качается вирус-вымогатель и www.salon-tayna.ru, где предположительно ведется статистика скачиваний или чего-то там еще, давали согласие на размещение этого безобразия на их ресурсах. Крайними, в случае чего, сделают именно эти сайты. Я постараюсь связаться с администрацией данных ресурсов и предупредить о том, что с их сайтов качаются вирусы.
Но вернемся к самому вирусу-вымогателю. Даже загрузив файл с вирусом себе на компьютер вы все равно еще не заразили его, сам шифровальщик сидит внутри архива arbitrinform.scr, запустив который вы практически подписываете всем своим документам смертный приговор. Я уже писал ранее в блоге что делать, если вы подцепили себе вирус-шифровальщик.
Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.






Комментариев: 2
2013.12.12, актуально, вашу страницу нашел в поисковике. Пришло аналогичное письмо.
Мне также пришло письмо 31.07.2014 с noreply@arb.su