• 24 июня 2019, 10:02

    Хакеры разослали письма с вирусом от имени российских компаний

    В Сети снова появился вирус-вымогатель Troldesh. Хакеры рассылают зараженные им письма. Корреспонденция якобы приходит с адресов известных авиакомпаний, автомобильных дилеров и СМИ.
    Хакеры разослали письма с вирусом от имени российских компаний

    Об атаке сообщили в компании Group-IB, занимающейся предотвращением и расследованиями преступлений в киберпространстве и случаев мошенничества с применением высоких технологий. Хакерскому воздействию подверглись российские предприятия, уточнил сайт РБК.

    Только в июне вирус Troldesh содержался в более чем 1,1 тысячи фишинговых писем. Вредоносное ПО известно также под названиями Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Действует программа по принципу вымогателя: сначала шифрует на зараженном устройстве файлы, а потом требует выкуп для восстановления доступа к ним.

    По информации Group-IB, в последнее время «поле деятельности» вируса расширилось. Теперь он еще занимается майнингом криптовалюты. Кроме того, посредством Troldesh генерируется трафик на веб-сайты, чтобы увеличить уровень посещаемости и доходы от онлайн-рекламы.

    Специалисты отметили, что вредоносная рассылка приходила от имени автодилеров KIA и «Рольф», авиакомпании «Полярные авиалинии», портала «Новосибирск-online» и сайта РБК. Письма от имени сотрудников компаний содержат прикрепленный запароленный архив. В нем якобы содержатся подробные сведения о «заказе».

    В Group-IB заметили, что все адреса отправителей поддельные. К реальным компаниям они отношения не имеют.

    Впервые Troldesh попал в поле зрения специалистов Group-IB еще в 2015 году. В марте 2019-го вирус массово рассылали от лица известных ретейлеров, финансовых и строительных организаций. Пользователи получили зараженные письма, отправителями которых значились «Ашан», «Магнит», «Славнефть» и ГК «ПИК».