Буквально за три последних дня, ко мне обратилось сразу несколько знакомых с вопросом про странное письмо из арбитражного суда. Один раз мне его даже переслали с просьбой открыть, благо самостоятельно открывать его пытались на Mac и на iPad, потому всё обошлось без последствий.
Догадались о чем речь? Именно так, в большинстве случаев люди приобретают себе вирусы-шифровальщики. Вирус шифрует пользовательские файлы - текстовые документы, фотографии, базы данных 1С, электронные таблицы и pdf. Это просто бич какой-то, при условии что найти дешифратор под каждый конкретный экземпляр практически невозможно.
Вымогатель часто маскируется под письмо из арбитражного суда, с грозной темой СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО!
Обратный адрес не сложно подделать, потому не стоит обращать внимание на то что отправителем значится адрес noreply@arbitr.ru. Удаляйте его смело и счастье придет в ваш дом.
Посмотрев содержимое письма в виде кода, решил привести код ссылки на вирус из него в ознакомительных целях (адрес почты заменен):
<a href="http://www.salon-tayna.ru/assets/stat.php?
PID=AMS_3572&MLID=74&GID=441&EML=*****@mail.ru&
RD=http://ivanvlasov.ru/images/arbitrinform.zip"
data-vdir-href="https://mail.yandex.ru/re.jsx?
h=a,1sCHM2WFF0IqxrW1HaBXxQ&
l=aHR0cDovL3d3dy5zYWxvbi10YXluYS5ydS9hc3NldHMvc3RhdC5waHA_UElEPUFNU
18zNTcyJk1MSUQ9NzQmR0lEPTQ0MSZFTUw9cHJhdm8tbm5AbWFpbC5ydSZSRD1od
HRwOi8vaXZhbnZsYXNvdi5ydS9pbWFnZXMvYXJiaXRyaW5mb3JtLnppcA"
data-orig-href="http://www.salon-tayna.ru/assets/stat.php?PID=AMS_3572&
MLID=74&GID=441&EML=*****@mail.ru&
RD=http://ivanvlasov.ru/images/arbitrinform.zip" class="daria-goto-anchor"
target="_blank">ПРОВЕРИТЬ ИНФОРМАЦИЮ</a>
Поясняю этот малопонятный набор символов (кстати, на данный момент тут написана вполне рабочая ссылка на вирус. надеюсь администрация указанных сайтов это быстро прикроет). Значит что мы тут видим?
В самом письме вируса нет! Потому любой антивирус ничего не заподозрит и позволит вам открыть данное письмо, однако при нажатии на ссылку < ПРОВЕРИТЬ ИНФОРМАЦИЮ >, вы самостоятельно загружаете себе архив с вирусом (в данном случае файл arbitrinform.zip.
Любопытен тот факт, что злоумышленник для распространения вируса использует взломанные сайты, я сильно сомневаюсь что владельцы ресурсов www.ivanvlasov.ru, с которого качается вирус-вымогатель и www.salon-tayna.ru, где предположительно ведется статистика скачиваний или чего-то там еще, давали согласие на размещение этого безобразия на их ресурсах. Крайними, в случае чего, сделают именно эти сайты. Я постараюсь связаться с администрацией данных ресурсов и предупредить о том, что с их сайтов качаются вирусы.
Но вернемся к самому вирусу-вымогателю. Даже загрузив файл с вирусом себе на компьютер вы все равно еще не заразили его, сам шифровальщик сидит внутри архива arbitrinform.scr, запустив который вы практически подписываете всем своим документам смертный приговор. Я уже писал ранее что делать, если вы подцепили себе вирус-шифровальщик.
Дополнение:
Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.
Подписывайтесь на канал и узнавайте первыми о новых материалах, опубликованных на сайте.
ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ,
НЕ ЛЕНИТЕСЬ СТАВИТЬ ЛАЙКИ И ДЕЛИТЬСЯ С ДРУЗЬЯМИ.
https://mdex-nn.ru/page/poddelnye-pisma-iz-arbitrazhnogo-suda.html