Международная антивирусная компания ESET предупреждает о высокой активности трояна-загрузчика Nemucod. Программа используется для распространения шифратора TeslaCrypt, вымогающего биткоины, следует из сообщения разработчика антивирусов.

Как отмечается, вектор атаки Nemucod типичен для данного класса вредоносного программного обеспечения. Злоумышленники используют сообщения электронной почты с ZIP-архивом в приложении. Письма имитируют официальную отправку счета-фактуры и рассылаются с реально существующих адресов уже скомпрометированных пользователей (см. пример фишингового сообщения Nemucod в релизе ESET).

В отличие от ряда вредоносных кампаний, в архиве содержится не исполняемый файл, а файл JavaScript. Это позволяет злоумышленникам обойти решения для защиты почтовых серверов, детектирующие формат .ехе, поясняют в ESET.

После заражения Nemucod загружает в систему другое ПО, включая новую модификацию шифратора TeslaCrypt, который ранее использовался в атаках на российских пользователей. Программа шифрует текстовые документы, изображения и видео. В большинстве случаев зашифрованные файлы не могут быть восстановлены, даже если пользователь заплатит выкуп, предупреждает разработчик антивирусов.

Уточняется, что вредоносная кампания ориентирована на англоговорящих пользователей. Уровень заражений остается стабильно высоким на протяжении месяца, что свидетельствует о высокой активности злоумышленников.

В настоящее время в статистике заражений Nemucod преобладают Великобритания и Австралия, высокая активность трояна наблюдается в Канаде, а также в Японии. В некоторых регионах число обнаружений Nemucod достигало 75% в общем объеме детектированных вредоносных программ.

«ESET рекомендует пользователям игнорировать сообщения от неизвестных отправителей и регулярно выполнять резервное копирование данных», — подчеркивается в сообщении.