Ten ransomware wycelowano… w Polskę. Uważajcie na podejrzane maile

Co ciekawe, podaje się, że kampania już się zakończyła i nie są rozsyłane kolejne wiadomości, ale niewykluczone, że to zwyczajnie „cisza przed burzą”. Być może przestępcy czekają na kolejny dogodny moment i kiedy uznają to za stosowne, rozpoczną kolejną część swojego ataku. Tymczasem, jeżeli znajdziecie w swoich skrzynkach podejrzane maile z załącznikami – „fakturami”, których się nie spodziewaliście, nie otwierajcie ich i najlepiej usuńcie, żeby Was nie kusiły. Każda korespondencja, która wzbudza Wasze podejrzenia powinna zostać przed otworzeniem skonsultowana z rzekomym nadawcą.

Co stanie się, jeżeli otworzysz podejrzany załącznik z Nozelesn?

Badacze w tym momencie nie dysponują jeszcze próbką tego wirusa: jedyne informacje na ten temat to te, które są przekazywane przez same ofiary. Wiadomo, że po udanej infekcji maszyny, ransomware szyfruje pliki użytkownika i nadaje im rozszerzenie .nozelesn. Dodatkowo, tworzony jest plik .htm, w którym zawarte są instrukcje co do opłacenia okupu za odszyfrowanie plików. Dodatkowo, zawarte są informacje służące do zalogowania się na serwerze TOR obsługującym płatności: „lyasuvlsarvrlyxz.onion”, a także unikalny ciąg, który umożliwia zalogowanie się na wyżej podanej lokalizacji.

cheers. In this forum thread I am getting closer to a sample: https://t.co/ByUKzQuaVx – you may want to join in too.

— Kevin Beaumont (@GossiTheDog) July 2, 2018

Obecnie okup wynosi 660 dolarów (0,10 bitcoina). Badaczom nie udało się na razie ustalić, czy zapłacenie okupu skutkuje odblokowaniem dostępu do wszystkich plików. Oczywiście, nie zaleca się mimo wszystko tego robić – bardzo możliwe jest to, że cyberprzestępcy wcale nie udostępnią ofiarom kluczy odszyfrowujących dane, co będzie jasno wskazywało, że Nozelesn jest zwyczajnym wiperem, a nie ransomware, podobnie jak m. in. NonPetya.

Nozelesn szaleje. Co zrobić, aby nie dać się złapać?

Przede wszystkim nie należy otwierać żadnych podejrzanych załączników pochodzących od równie podejrzanych nadawców. To podstawa w zakresie tego, co Wy możecie sami zrobić, aby nie natknąć się na takie zagrożenie. Ponadto ważne jest, aby system na komputerze był zaktualizowany do najnowszej dostępnej wersji, a także warto robić backupy, choćby najważniejszych dokumentów, na których Wam najbardziej zależy. W firmach natomiast warto edukować pracowników o tym, że nie wszystko, co wpada do mailowej skrzynki może być bezpieczne – jeżeli tylko występują jakiekolwiek wątpliwości co do pochodzenia konkretnej treści, absolutnie nie należy otwierać załączników. Przy okazji, jeżeli fałszywa lub podejrzana wiadomość wskazuje, że nadawcą rzekomo jest konkretna instytucja, warto powiadomić ją o tym fakcie, by po swojej stronie mogła wdrożyć odpowiednie działania.