Иллюстративное фото.
CC0 Creative Commons
За последние недели в отдел по обработке инцидентов службы кибербезопасности (CERT-EE) Департамента государственной инфосистемы (RIA) поступило несколько сообщений о заражениях вредоносной программой Emotet, пишет BNS.
Троян Emotet, предлагающий услугу другим семействам вредоносного программного обеспечения, уже много лет засоряет киберпространство, в июле сеть опять активировалась, и через нее выискивают жертв по всему миру.
Вредоносная программа Emotet распространяется, как правило, через документы, вложенные в э-письма, используя переписку, обнаруженную на уже скомпрометированных учетных записях. От знакомого человека или партнера часто приходит электронное письмо с вложением и кратким сообщением, например, на английском языке «Please confirm» или «Во вложении вы найдете новый счет». Вложение с виду кажется обычным файлом Word, который при открытии показывает, что определенное содержимое макроса отключено. Чтобы включить его, вам нужно сделать еще один клик (по-английски «Enable Content», по-русски «Разрешить содержание»).
После нажатия на кнопку разрешения или картинку компьютер заражается вредоносной программой Emotet, причем пользователь устройства не замечает заражения. После заражения Emotet предлагает услугу другим вредоносным группам, которые могут использовать инфраструктуру Emotet для отправки в компьютер своего вредоносного программного обеспечения с целью кражи оттуда конфиденциальных данных или для последующего заражения компьютера, например, программой-вымогателем, которая шифрует файлы.
«В отношении таких вредоносных программ нужно быть особенно бдительным, поскольку отправитель сообщения, заголовок письма и прилагаемый файл могут выглядеть совершенно правдоподобно, — сказал эксперт по информационной безопасности CERT-EE Йоозеп-Сандер Юхансон. — Во избежание заражения следует быть очень осторожным при получении письма с вложением даже от знакомого человека. Если есть малейшие сомнения относительно содержания или вложения электронного письма, мы рекомендуем связаться с отправителем по телефону или по альтернативному каналу и переспросить».
Опытные пользователи компьютеров могут проверить подозрительные вложения на сайте https://cuckoo.cert.ee/. Если проверяемый документ дает в результате предупреждение красного цвета, то его следует отправить по адресу cert@cert.ee.
Также следует учитывать, что если файл во вложении к письму (например, документ Word со стандартным расширением), запрашивает при открытии включить или активировать что-то, не следует нажимать на него. «Если письмо пришло на ваш рабочий адрес электронной почты, как можно скорее обратитесь в службу ИТ-поддержки на своей работе, поскольку это поможет предотвратить заражение вашего рабочего места другими вредоносными программами. Документы, использующие макросы, отправляются в наше время крайне редко, поэтому с большой долей вероятности в таком случае имеется дело с вирусом», — подчеркнул Юхансон.
Наиболее распространенные в мире антивирусные программы ежедневно работают над обнаружением и предотвращением распространения новых версий вредоносных программ. Если через работодателя невозможно получить ИТ-поддержку и имеется основание полагать, что компьютер заражен вирусом, CERT-EE советует использовать одну из широко известных антивирусных программ (с новейшими сигнатурами), чтобы проверить компьютер.
В Эстонии, насколько известно, заражения были обнаружены в транспортном и здравоохранительном секторах, но поскольку при заражении одного компьютера он способен очень быстро распространить зловредное ПО, то подверженных опасности секторов явно больше.
Сообщения о широком распространении Emotet в последние недели RIA получал и от своих партнерских учреждений, в том числе из Финляндии и Латвии. Из зараженных Emotet компьютеров формируются бот-сети, находящиеся под контролем злоумышленников. С помощью этих сетей можно организовать также масштабные атаки. Emotet считается одной из самых опасных и коварных вредоносных программ, которая вновь активизировалась этим летом.
Ваш комментарий будет первым