Новый всплеск активности вирусов-шифровальщиков в России

Международная компания Group-IB сообщает об очередной волне вирусных атак на российские компании. На этот раз речь идёт о рассылке писем, заражённых шифровальщиком-вымогателем Troldesh (он же Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome).

В июне 2019 года специалистами Group-IB было выявлено более 1100 случаев рассылки фишинговых писем с данным вирусом. Все они якобы были отправлены с email-адресов известных авиакомпаний («Полярные авиалинии»), автодилеров (KIA, «Рольф») и СМИ («Новосибирск-online»).

В тексте перехваченных писем злоумышленники представлялись сотрудниками этих компаний и просили открыть прикреплённый файл — запароленный архивный файл с «подробностями заказа». Далее всё по стандартному сценарию: при попытке открытия файла Troldesh шифрует данные на компьютере пользователя и требует выкуп за восстановление доступа к ним. О способности вируса распространяться на другие ПК через объединённую корпоративную сеть не сообщается.

Впервые с Troldesh мир столкнулся в 2015 году. Предыдущая масштабная кампания этого шифровальщика была зафиксирована в марте текущего года, когда вирусная рассылка шла от лица известных ретейлеров, финансовых и строительных компаний («Ашан», «Магнит», «Славнефть», ГК «ПИК» и др.). За полгода до этого письма приходили от имени Газпромбанка, банка «Открытие», Бинбанка, ГК «Дикси», Metro Cash & Carry и Philip Morris.

Пользуясь случаем, напоминаем, что платить выкуп вымогателям ни в коем случае нельзя! В большинстве случаев зашифрованные файлы дешифрации и восстановлению не подлежат. Поэтому следует использовать превентивные меры:

Бесплатно проконсультироваться по вопросу выбора и поставки программного обеспечения можно по нижеуказанным контактным данным.

Источник новости: РБК

• Телефон (многоканальный): (4872) 70-02-70; доб. 230
  Андреева Наталия Александровна
  Должность: менеджер отдела развития информационных технологий
  E-mail: 230@sfx-tula.ru