Новый вредонос-шифровальщик атакует российских пользователей

Троян маскируется под обновление безопасности и использует для заражения легитимный сервис. За возвращение доступа к данным злоумышленники просят выкуп.

В конце октября 2022 года эксперты «Лаборатории Касперского» обнаружили вредоносную рассылку, направленную в отношении русскоязычных пользователей якобы от лица правоохранительных и государственных органов.

В компании обнаружили несколько тысяч писем, в которых шла речь о специальном решении для защиты устройства от различных угроз в интернете. В сообщении хакеры давали ссылку на скачивание «продукта», который назывался обновлением для систем безопасности.

На самом деле это был троян-шифровальщик из семейства Trojan-Ransom.Python.Agent. Злоумышленники, которые устраивают рассылку, обращают внимание на активизацию хакерских атак в интернете. Они отмечают, что «для безопасного пребывания на интернет-страницах и скачивания приложений разработали специальное обновление для систем безопасности». После установки такого решения человек якобы должен получить код, позволяющий «обнаружить и предотвратить атаку на устройство».

На самом деле если пользователь скачивал «обновление безопасности», то данные на устройстве оказывались зашифрованы, за возвращение доступа к ним злоумышленники просили выкуп в виртуальной валюте. В переводе на рубли сумма выкупа составляет около 1,2 миллиона рублей.

Руководитель группы защиты от почтовых угроз в «Лаборатории Касперского» Андрей Ковтун рассказал:

«Мы полагаем, что рассылка была направлена на широкую аудиторию. Примечательно, что осуществлялась она с помощью легитимного сервиса, это нехарактерно для подобных атак. Злоумышленники спекулируют на актуальной новостной повестке и используют адрес, похожий на официальную почту одного из ведомств. Мы призываем пользователей соблюдать бдительность, критически относиться к любым предложениям в сети и заботиться о цифровой защите своих устройств и данных».