РАТЕЛ упозорава на ширење малициозног софтвера

Републичка агенција за електронске комуникације и поштанске услуге (РАТЕЛ) обавештава и упозорава све корисникe рачунара и мобилних уређаја о ширењу новог малициозног софтвера под називом „Spider“.

Овај малициозни софтвер закључава све датотеке на рачунару или мобилном уређају и захтева откуп енкрипционих кључева, како би корисници поново могли да приступе инфицираним датотекама.

Малициозни софтвер се активира отварањем прилога (attachment) имејл поруке у форми Microsoft Word документа и кликом на опције „Enable Editing“ и „Enable Content“.

У наставку преносимо у целости саопштење РАТЕЛ:

„У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ обавештава и упозорава све кориснике рачунара и мобилних уређаја о ширењу новог типа малициозног ransomware садржаја, под називом „Spider“.

Малициозни садржај „Spider“ је први пут регистрован 10.12.2017. и претпоставка је да се ради о типу ransomware-a „HiddenTear“. Овај вид малициозног софтвера закључава целокупну датотеку на корисничком рачунару или мобилном уређају и, као и други познати облици ransomware малициозних садржаја, захтева откуп енкрипционих кључева, како би корисници поново могли да приступе инфицираним датотекама.

У овом тренутку је познато да овај тип малициозног садржаја стиже са имејл адресе office@adriadoo.com. Све до сада примљене поруке написане су на српском језику, послате под насловом “Потраживање дуговања – ХХХХХХХ“ и потписане од стране наводног приватног извршитеља, Ивана Азељковића. У тексту поруке се наводи да се спроводи извршење одређеног решења Основног суда у Београду, са назначеним бројем рачуна на који је неопходно уплатити наведене износе. У захтеву се налази и напомена да је садржај информације приватног карактера и да је због тога креиран Microsoft Word документ који је прослеђен као прилог (attachment). Такође се наводи да је након отварања прилога неопходно омогућити едитовање документа, кликом на опцију „Enable Editing“, а затим кликом омогућити и опцију „Enable Content“, која се налази на командној линији.

Информације о овом типу малициозног софтвера су објављене и на друштвеним мрежама, уз помињање подручја Балкана, што је тачан податак, јер су исти напади извршени на територији Републике Српске и БиХ.

Препорука Националног ЦЕРТ-а Републике Србије је да корисници не отварају прилог из наведеног мејла, као и да редовно креирају резервне копије свих важних датотека на својим рачунарима и мобилним уређајима.

Уколико је рачунар инфициран, препоруке су следеће:

• тренутно искључити инфицирани рачунар са локалне мреже,
• обавестити Национални ЦЕРТ Републике Србије путем имејл адресе info@cert.rs,
• НЕ ПЛАЋАТИ откуп енкриптованих кључева, јер корисницима није загарантовано да ће их добити, односно да ће њиховом применом бити омогућен поновни приступ инфицираним датотекама.“

Поделите: