Tehnografi.com - Технологические новости, обзоры и советы

Мошенничество "Ева Рихтер" зашифровывает ваши файлы, выдавая себя за поддельное резюме

Согласно новому отчету, написание электронного письма о работе под названием «Bewerbung через Arbeitsagentur – Ева Рихтер» (Заявка через агентство по трудоустройству – Ева Ритчер) может оказаться катастрофическим для вас.

Bleeping Computer, веб-сайт, посвященный сообщениям о кибербезопасности, подтвердил существование мошеннического мошеннического резюме «Ева Ритчер». Жульничество предназначается для людей в Германии, прикрепляя вредоносный файл «.exe» в электронном письме, возможно, в качестве приложения для возобновления PDF.

джемф сейчас

Эта новая афера работает как Ransomware по своей функции. Сначала он шифрует файлы на компьютере, а затем запрашивает вымогательство в виде биткойнов для расшифровки файлов.

«Ева Ритчер» Поддельное резюме: как это работает?

Фальшивое резюме мошенников «Eva Ritcher» представляет собой электронное письмо с заявлением о приеме на работу, утверждающее, что оно из агентства по трудоустройству. Текст письма гласит:

Ева Ритчер Поддельное Резюме Ordinypt

Это электронное письмо также содержит файл с именем «Eva Richter Bewerbung und Lebenslauf.zip» (Eva Ritcher Application и CV.zip).

Внутри почтового файла есть резюме и фото, оба из которых утверждают, что принадлежат Еве Ритчер. Мошенники используют технику «custom-icon» и «double extension», чтобы обманом заставить пользователей открывать вредоносные файлы.

Резюме имеет значок PDF, но при проверке его расширения вы видите, что это файл «.exe».

Ева Ритчер Резюме Мошенничество

В частности, это установщик Ordinypt. По словам Bleeping Computer, он несколько раз мигает экраном. После этого вредоносная программа начинает шифровать файлы на компьютере.

Филипп Маккенсен, инженер-реверс, описал Ординипта как стеклоочистителя, замаскированного под вымогателей. Он объяснил, что Ординип обменивался данными файлов со случайными строчными, заглавными буквами и символами, уничтожая исходные.

джемф сейчас

В этом случае Ordinypt работает как вымогатель, а также как wiper: вредоносная программа, которая уничтожает файлы во время их шифрования.

Здесь установщик шифрует файлы, отключает Windows 10 среды восстановления и завершает все процессы при удалении копий теневого тома. Кроме того, шифрование, которое оно выполняет, включает в себя заполнение файлов кучей случайных данных, что делает их непонятными для чтения.

Ordinypt создает псевдофайлы оригинальных документов, что означает, что он уничтожает половину файловых данных при шифровании другой половины. Он также добавляет пользовательское расширение для всех зашифрованных файлов для идентификации.

Зашифрованные файлы

После завершения шифрования / уничтожения данных Ordinypt оставляет записку о выкупе (Продолжение) _how_to_decrypt.txt, Он направляет пользователя на сайт Tor для оплаты около 0,1473766 BTC, что составляет 1 518,97 долларов США.

Ева Ритчер Резюме Scam Ransom Note

В отчете об Ординипте советуют не платить этим мошенникам. Это потому, что Ordinypt уничтожает файлы пользователя, когда он их шифрует.

джемф сейчас

Согласно отчету, в нескольких случаях Shadow Volume Copies удалось пережить Ординипт. В этом случае вы можете восстановить ваши файлы.

Для непосвященных, Shadow Volume Copies – это технология, представленная Microsoft в 2001 году вместе с Microsoft. Windows XP Service Pack 2. Он создает автоматическое резервное копирование ваших файлов на любой раздел вашего жесткого диска.

Ранняя встреча с Ординиптом

Это не первый случай, когда Ordinypt выдает себя за фальшивое резюме, наносящее ущерб пользователям. Первоначально он был обнаружен Майклом Гиллеспи.

В 2017 году Ordinypt распространялся аналогичным образом через фальшивое резюме. Единственное отличие состоит в том, что имя поддельной заявительницы было «Виктория Хеншель», а не «Ева Ритчер».

Метод прикрепления вредоносного файла через приложение возобновления ранее использовался Petya Ransomware, который шифровал не файлы, а целые разделы жесткого диска, только для того, чтобы разблокировать его в обмен на здоровенную плату.

Чтобы обезопасить себя от подобных онлайн-атак, всегда соблюдайте следующие правила:

  1. Регулярно обновляйте определение вируса.
  2. Храните автономную резервную копию ваших данных на отдельном жестком диске.
  3. Держите брандмауэр включенным и всегда проверяйте природу, расширение и тип файла, прежде чем открывать его.


Table of Contents