Розсилання шкідливих електронних листів ransomware

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять у вкладенні шкідливі сценарії JS або архіви (*.gz, *.zip, *.z), що містять сценарії JS, при виконанні яких завантажується шкідливе ПЗ типу #ransomeware.
Всі зафіксовані листи розповсюджуються через NDR відповіді (bounce attack).

Зловмисники використовують поштові сервери наступним чином: з компрометованої IP адреси формується лист з вкладеннями, що містить зловмисний код. Адреси відправника та отримувача обираються за наступним принципом:
MAIL FROM: [user][AT][targetdomain]
MAIL TO: [nonexisting user][AT][domain with bad configured MX host]
REPLY-TO: <sozvezdiearh[AT]mail[DOT]ru>

Рівень загрози: СЕРЕДНІЙ


Зразкок електронного повідомлення:

Детальний опис:

Листи можуть містити у вкладеннях, як архів із шкідливим js-скриптом, так і сам шкідливий js-скрипт. Після запуску сценарію js-скрипта відбувається звернення до інструменту командного рядка cmd.

Через який передається команда до powershell на завантаження шкідливого виконуємого файлу

Завантаження шкідливого виконуваного файлу hxxp://tlux-group.com/wp-content/themes/kalki/singleupdate.exe з ip 88.208.252.152

Збереження шкідливого файлу та його запуск C:\Users\admin\AppData\Local\TempnCt16.exe після цього виконується наступна команда.

В результаті виконання якої шкідливий виконуваний файл перезаписується до C:\Users\admin\AppData\Roaming\osk.exe та запускається.

Виконуємий файл osk.exe є типовим зразком Ransomware, який в результаті свого функціонування зашифровує файли користувачів та вимагає гроші у криптовалюті для остаточного розшифрування цих файлів, а також видаляє всі системні резервні копії для унеможливлення відновлення

Та видалення усіх тіньових копій томів

Після зашифрування усіх користувацьких файлів в кожному каталозі розміщується файл "HOW TO RECOVER ENCRYPTED FILES.TXT"

Приклад зашифрованих файлів у каталозі користувача

Поштовий лист –> архів (zip, gz) –> java-скрипт (.js) –> exe-файл –> Trojan/Ransomware

Поштовий лист –> java-скрипт (.js) –> exe-файл –> Trojan/Ransomware

Механізм роботи:

Індикатори кіберзагроз:

Теми листів:
Директору Нагишкина
документы за вчера
Сверить
Исправленный документ
Исправленные документы
СРОЧНО

 

Main object - "12.04.2019.js"
     sha256 462ff604d78be9b3166fead08051bb3aa80651f668921e431226c3a0d01a0c49
     sha1 400a9d42aa976a1bf49d27b5583325fcac5943d7
     md5 3bb22c0ee783d32ffbcd3547a200a7e4

Dropped executable file
     sha256 C:\Users\admin\AppData\Local\TempnCt16.exe 3e4f8a1598f9dd834766d5184c3347947a201ff9a559fa275f048b14267d7f8a

Main object - "отчет за март 2019.js"
"12042019_02.js"
"Новый.js"
     sha256 102c750dc91f3712387e7ffe0b461483f2e773b8717be54e4e01fbef02ecc1ac
     sha1 cfe87b26274d03a4fc8f2207743ef06653de6357
     md5 8fb276d69fc53da0739ebd3dc9269b6b
Dropped executable file
     sha256 C:\Users\admin\AppData\Local\TempYqF91.exe 3e4f8a1598f9dd834766d5184c3347947a201ff9a559fa275f048b14267d7f8a
DNS requests
     domain tlux-group.com
Connections
     ip 88.208.252.152
HTTP/HTTPS requests
     url hxxp://tlux-group.com/wp-content/themes/kalki/singleupdate.exe