Кампања дистрибуције Locky вируса путем и-мејла

У периоду од 1. до 3. новембра (2016. године), мониторингом интернет саобраћаја унутар опсега ИП адреса пружаоца услуга интернет приступа у Републици Српској, припадници Одјељења за информациону безбједност (ОИБ), односно CERT-a Републике Српске примјетили су повећан прилив и-мејл порука са насловом ”!! Urgent payment request” од насумичних пошиљалаца. И-мејл порука се састоји од наслова, прилога у виду архивиране датотеке и потписа који наводи на помисао да се ради о уобичајеној пословној поруци.

Информишемо јавност да се ради о организованој кампањи дистрибуције малвера у двије варијанте – У једној је садржај прилога злоћудни JavaScript код који по извршењу од стране корисника контактира локацију путем које се преузима извршну датотеку која прикупља финансијске информације (нпр. креденцијали за PayPal налоге, електронско банкарство и сл.) и доставља их нападачу, док се у другој варијанти, извршењем JavaScript кода на корисником рачунар инсталира модификована верзија Locky рансомвера који потом енкриптује датотеке на рачунару и онемогућава им приступ захтијевајући уплату нападачу у одређеном износу у Bitcoin валути.

„У циљу превенције, савјетујемо кориснике да по примитку овакве и-мејл поруке исту одмах обришу и да не отварају датотеку у прилогу. Правна лица која располажу са сопственом инфраструктуром савјетујемо да имплементирају и ојачају заштитне и контролне механизме на и-мејл серверима као што су антивирусни филтери и детекција малициозног саобраћаја”, рекао је директор Агенције за информационо друштво Републике Српске Срђан Рајчевић.

О техничким детаљима корисници се могу информисати на сајту ОИБ-а (oib.aidrs.org).