Często spotykaną drogą infekcji komputera jest spam, dlatego co pewien czas przeglądam zawartość cyfrowych śmieci w poszukiwaniu ciekawych wiadomości, których zadaniem jest zainfekowanie komputera.
Oto jedna z nich – informuje rzekomo o zamrożeniu konta w związku z naruszeniem zasad korzystania z usługi (TOS):

Your account #730591542735 was frozen for violation of our TOS.
Please see attached.

=====
Sheena Forberg
Bui Khac Vinh
425, rue Sherbrooke Est, Montréal, QC H2L 1J9

CANADA
514-892-3833

W załączniku jest plik ZIP zawierający plik wykonywalny Windows o rozszerzeniu .scr. Oczywiście jest to dropper wirusa – badanie za pomocą virustotal.com nie pozostawia wątpliwości.
virustotal
Dropper ten był odpowiednio optymalizowany pod względem wykrywania – z najpopularniejszych antywirusów znają go jedynie AVG, ESET-NOD32 i Kaspersky – a zatem prawdopodobnie przeszedłby przez filtry wielu firm.

Po dokładniejszym badaniu w maszynie wirtualnej okazało się, że instalowany wirus jest jedną z odmian CTB-Lockera, programu, który szyfruje dokumenty użytkownika, a następnie żąda za nie okupu.

CTB Locker

Warto rozważyć wprowadzenie reguł, które usuną z kolejki te wiadomości e-mail, które zawierają pliki wykonywalne Windows zarówno przesyłane bezpośrednio w załączniku (od 2006r. są na to gotowe wyrażenia i sposoby konfiguracji serwera pocztowego qmail), jak i wewnątrz archiwum ZIP. Polecam wprowadzenie takiego filtru w firmie, gdyż plików wykonywalnych od dawna nie wysyła się w załączniku poczty elektronicznej.