Language switcher

Вы здесь

Третья волна вирусных программ поразила Эстонию – всегда проверяйте адрес отправителя, прежде чем что-то нажимать!

Как показывает мониторинг Департамента государственной инфосистемы и информация, полученная от партнеров, вредоносная программа Emotet, скрывающаяся за документами, файлами или ссылками в электронной почте, продолжает массово заражать компьютеры в Эстонии.

По словам эксперта по информационной безопасности отдела рассмотрения киберинцидентов (CERT-EE) в Департаменте государственной инфосистемы Йозепа Сандера Юхансона, вчера началась третья крупная волна. «Последние электронные письма с вложениями вредоносного ПО Emotet содержат в заголовке имя получателя или предприятия. Прежде мы сталкивались с вредоносными электронными письмами, которые пытались создать впечатление, что они отправлены коллегами или бизнес-партнерами», – сказал Юхансон. Он добавил, что, если проверить адрес отправителя, то фальшивое письмо можно относительно легко обнаружить. 
 
«В то же время не исключено, что электронный адрес предприятия попал в руки преступников. Это означает, что письма будут приходить как раз с реального адреса и со знакомым рабочим документом, но к письму будет приложена вредоносная программа. В любом случае мы сообщаем всем пользователям, о заражении которых нам известно», – сказал Юхансон. По предварительным оценкам, похоже, что третья волна будет реализована с помощью данных, которые были добыты в результате двух первых волн.

Что представляет собой Emotet?

Из зараженного вирусом компьютера крадется адресная книга почтового ящика, и отправляется злоумышленникам. Из почтового ящика берутся случайные реальные переписки в электронной почте, и ботнет повторно отправляет их как сторонам переписки, так и сотням других контактов, при этом письмо содержит во вложении файл или ссылку с вирусом. Помимо непосредственных проблем, связанных с заражением устройства, зараженное Emotet предприятие может оказаться в ситуации, когда имеющиеся в ее распоряжении личные данные и переписка по электронной почте начинают неконтролируемо распространяться в киберпространстве.
 
Троян Emotet может распространяться в компьютерах с операционной системой Windows в основном через документы, прикрепленные к электронным письмам (реже в виде ссылок). Содержание сообщения часто представляет собой лаконичное английское сообщение «Please confirm» (Пожалуйста, подтвердите) или «I would like to seek your advice on this» (Прошу совета по этому поводу). В некоторых случаях электронное письмо содержит предыдущую переписку, которая была просто повторно отправлена вместе с вложением. 
 
Это типичный файл с расширением Word, например, .docx и .doc, при открытии которого вы видите надпись, что содержимое документа не может быть отображено и что программу, возможно, необходимо обновить. Вредоносная программа попадает в компьютер пользователя, если сделать еще один щелчок и предоставить разрешение макросам. Программа Word с англоязычным интерфейсом запрашивает у пользователя „Enable Editing“ и „Enable Content“, с интерфейсом на эстонском языке – «Luba redigeerimine» и «Luba sisu», на русском – «Разрешить редактирование» и «Включить содержимое». После нажатия на кнопку разрешения компьютер заражается вредоносной программой Emotet, причем пользователь устройства не замечает заражения. Однако вредоносное ПО постоянно трансформируется и совершенствуется: CERT-EE получал уведомления о защищенных паролем zip-файлах, которые на самом деле содержат файл MS Word и Emotet.

Как защитить себя от трояна?

Если вы получили электронное письмо от знакомого или учреждения с неожиданным вложением или ссылкой, не открывайте его. Особую осторожность следует соблюдать в том случае, если для открытия приложенного файла требуется дополнительный клик. Если вы получаете электронное письмо, суть переписки в котором вам кажется не совсем актуальной, то это тоже может быть вирус. Если вы сомневаетесь, сообщите об этом отправителю электронного письма, а если вы случайно открыли файл или ссылку, то немедленно обратитесь в ИТ-службу своего предприятия и сообщите об инциденте в CERT-EE (cert@cert.ee).
 
Поскольку Emotet в настоящее время распространяется очень активно, мы рекомендуем предприятиям пересмотреть и, при необходимости, ужесточить меры защиты информации. Со своим ИТ-партнером и поставщиком услуг следует обсудить следующие вопросы:
 

  • какие меры принимаются для предотвращения вредоносного трафика в сетях предприятия;
  • как понять, что данные были украдены;
  • как предотвратить и обнаружить заражения в услугах, к которым сотрудники имеют доступ со своих личных устройств. 

С рекомендациями о том, как защитить себя и свое предприятие, вы можете ознакомиться на странице www.itvaatlik.ee/ru/. CERT-EE предлагает общественности бесплатную аналитическую среду Cuckoo (https://cuckoo.cert.ee/), с помощью которой можно проверить файлы, подозреваемые в наличии вирусов.
 
Подробнее:
 
https://www.ria.ee/ru/novosti/opasnost-troyana-emotet-zaklyuchaetsya-v-k...
https://www.ria.ee/ru/novosti/estoniyu-nakryla-novaya-volna-virusa-emote...

Сейко Куйк
Пресс-секретарь RIA
5851 7028
seiko.kuik@ria.ee

More news on the same subject

16.11.2020

Пожилые люди до конца года смогут проконсультироваться на тему кибербезопасности

16.11.2020 – Департамент государственной инфосистемы (RIA) совместно с партнерами обращает особое внимание на повышение информированности русскоязычных пожилых людей на тему кибербезопасности. 

12.11.2020

Замаскированное под обновления вредоносное ПО нацелено на пользователей Microsoft Teams

11.11.2020 – В настоящее время в сети проводится поддельная кампания, которая под видом рекламы обновлений Microsoft Teams завлекает пользователей загружать вредоносное ПО.