Polscy internauci ofiarami nowego ataku ransomware – uważajcie na faktury z DHL
Mamy nadzieję, że nikt z was na swoim komputerze nie znajdzieplików z rozszerzeniem .nozelesn. Jeśli jednak doszło donajgorszego, czyli zaszyfrowania waszych plików, to może będzieciew stanie pomóc badaczom. Przeciwko polskim internautomprzeprowadzany jest atak za pomocą ransomware o nazwie Nozelesn,rozsyłanego wraz z fałszywymi fakturami DHL, jednak jak do tej porynawet CERT Polska nie dysponuje próbką szkodnika.
Prowadzony przez grupę MalwareHunterTeam serwis ID Ransomwareodnotował dziesiątki pochodzących z Polski zgłoszeń malware,które otrzymało nazwę Nozelesn od rozszerzenia, jakie dodaje dozaszyfrowanych plików. Jak donoszą ofiary, nowe ransomware szyfrujeon dokumenty i pliki graficzne, a następnie umieszcza na pulpicieplik z żądaniem okupu o nazwie HOW_FIX_NOZELESN_FILES.htm.
It seems that the delivery method was through a spam campaign with fake DHL invoice.
— Rev (@RevToJa) 2 lipca 2018Schemat wymuszenia okupu jest dość typowy – ofierze nakazujesię w ciągu 10 dni od zaszyfrowania plików zainstalować TorBrowsera, odwiedzić ukrytą w darknecie stronę z końcówką .onioni zapoznać się z umieszczonymi tam instrukcjami. Faktycznie, podwskazanym adresem działa usługa deszyfrowania. Zalogować sięmożna do niej z wykorzystaniem osobistego kodu, który malwarepozostawia w pliku żądania okupu.
Korzystając z jednego z takich kodów sprawdziliśmy, czegocyberprzestępcy chcą tym razem. Niespodzianki nie ma – porozwiązaniu testu CAPTCHA trafiamy do generatora kluczadeszyfrującego, który za jedyne 0,1 BTC (obecnie około 2470 zł)klucz taki dostarczy. Wpłaty dokonywane są na jednorazowe konta,więc trudno powiedzieć, ile osób do tej pory się skusiło.
Oczywiście radzimy, by okupu nie płacić. W ostatnich czasachautorzy ransomware stają się coraz bardziej nieuczciwi i niedostarczają tego, co obiecali, a zwrotów pieniędzy w sieci Bitcoinnie ma. Płacąc umacniamy też tylko ich biznes i przekonujemy, żeransomware to dobry sposób na życie.
Zamiast tego lepiej poczekać na pracę ekspertów odbezpieczeństwa, którym wielokrotnie już udawało się zaszyfrowanepliki odszyfrować. Wykorzystywano w tym celu czy to błędy wimplementacji szyfrowania popełnione przez cyberprzestępców, czyteż zdobyte z ich serwerów dowodzenia i kontroli klucze.Najbardziej pomocną będzie tu usługa NoRansomfirmy Kaspersky Lab.
Jeśli już jednak padliście ofiarą ataku autorów Nozelesn,sprawdźcie za pomocą swojego programu antywirusowego, czy czasemgdzieś nie zostanie wykryty plik szkodnika. Jeśli tak jest, możeciezgłosić do do polskiego CERT-u, na adres cert@cert.pl.
Pamiętajcie też o kopii zapasowej swoich plików. Zawsze. Jeślinie wiecie, jak ją zrobić, zapraszamy do naszegoporadnika.
Aktualizacja
Wygląda na to, że przyłapano przynajmniej downloadera tego szkodnika. Został on wgrany do VirusTotal, czekamy na dalszą analizę.