Государственная фискальная служба Украины разместила на официальном сайте предупреждение о массовой спам-рассылке вирусных файлов со ссылкой якобы на веб-портал ГФС.
«В последние дни зафиксировано большое количество обращений налогоплательщиков в Контакт-центр Государственной фискальной службы Украины по поводу спам-рассылки писем, содержащих ссылки на веб-портал ДФС.
Учитывая это сообщаем, что отправка спам-сообщений происходит с электронных ящиков, которые не имеют никакого отношения к Государственной фискальной службе Украины.
Обращаемся к плательщикам с просьбой внимательнее изучать электронный адрес отправителя письма и проверять его достоверность». — отметили в ГФСУ.
По данным представителей ведомства, ссылка, которая содержится в тексте таких спам-писем о мнимой задолженности и якобы перенаправляет на портал ГФС, на самом деле является гиперссылкой, которая ведет на стороннюю Интернет-страницу и приводит к загрузке вирусного файла (троянской программы).
Для того, чтобы удостовериться в том, что письмо действительно отправлено представителями Государственной фискальной службы Украины, можно воспользоваться ссылкой с контактной информацией на официальном сайте ведомства.
Обновлено:
Как отметила Киберполиция Украины, в указанном сообщении содержится ссылка на якобы счет для уплаты налогов. На самом деле, ссылка ведет на один из взломанных сайтов, которые находятся под управлением CMS (система управления контентом) Joomla или WordPress, по которому загружается zip-архив.
В архиве находится javascript-код, подвергшийся обфускации (метод для осложнения понимания алгоритма работы вредоносного кода), который при выполнении создает компонент ActiveX (в связи с чем, уязвимы только системы ниже Windows 10). Поскольку указанный компонент может получить доступ к файловой системе компьютера и выполнять нативный код, он загружает вредоносное программное обеспечение (malware) с серверов, которые уже были предварительно взломаны.
Указанная malware в фоновом режиме шифрует файлы, согласно прописанного в нем списка типов файлов. Когда процесс шифрования завершен, malware меняет фоновое изображение на рабочем столе компьютера и создает файлы readme.txt с инструкциями, чем уведомляет потерпевшего о шифровании его файлов, и дает дальнейшие инструкции для их расшифровки.
Ключей для расшифровки файлов, пострадавших от действий зловреда, на данный момент в мире пока нет. Обычно злоумышленники требуют в качестве выкупа суммы около $300-500, в том числе в криптовалюте Bitcoin, однако известны случаи, когда эта сумма равнялась 3 Bitcoin, что в долларовом эквиваленте по текущему курсу составляет примерно $3000.