Троян с доставкой

Производственное предприятие, утро понедельника, звонок секретарю:

М: Здравствуйте, я из ООО Ромашка, у меня вопрос по акту сверки,
М: подскажите телефон вашей бухгалтерии или переключите.
С: Переключаю.

Бухгалтерия

М: Здравствуйте, я Иванов Сергей Юрьевич, из налоговой инспекции,
М: мы решили провести у вас выездную проверку 20 августа.
Бух: Но у нас уже была проверка 3 месяца назад.
М: Это внеочередная. Продиктуйте адрес электронной почты,
М: отправлю вам информацию, какие документы нужно
М: подготовить и предоставить.
Бух: Может переключить вас на главбуха?
М: Давайте не будем тратить ваше и мое время,
М: продиктуйте адрес, я отправлю информацию,
М: а если что не понятно вы потом нам перезвоните.
М: Телефон вы знаете, он есть на нашем сайте.
Бух: Хорошо, xxxxx@xxxx.ru
М: Не вешайте трубку, сейчас отправлю вам письмо.
Бух: Ок
М: Пришло письмо?
Бух: Да
М: Там ссылка в конце, жмите.
Бух: Нажала, ничего не происходит.
Бух: А вот вижу архив и в нем файл. Что-то файл не открывается,
Бух: нажала и ничего.
М: Наверно у вас не установлена какая-то программа,
М: перешлите письмо коллегам пусть они попробуют открыть.
М: Если будут какие вопросы, звоните, телефон на нашем сайте.
М: Всего доброго.

Бухгалтерия, 5-ю минутами позже.

Бух: Оль, мне сейчас из налоговой звонили, сказали будет проверка,
Бух: прислали письмо со списком необходимых документов,
Бух: но что-то не открывается.
Бух: Попробуй у себя открыть, я тебе отправила.
Оля: Нажала, ничего не происходит. Может отправить Наташе?

Секретарь, через 10 минут, звонок.

М: Здравствуйте, а у вас есть отдел снабжения?
С: Да, что вы хотели?
М: Я генеральный директор ООО Ромашка, мы новая молодая фирма,
М: хотим с вами сотрудничать. Переключите пожалуйста.
С: Переключаю

Снабжение:

М: Здравствуйте, я Иванов Сергей Юрьевич из ООО Ромашка,
М: мы новая молодая фирма, очень хотим с вами сотрудничать.
М: У нас широкий выбор комплектующих и материалов
М: по очень низким ценам. Давайте адрес вашей электронки,
М: пришлю каталог.
Сотр: yyyy@xxxx.ru
М: Подождите, не вешайте трубку, сейчас отправлю вам письмо.
М: Отправил, пришло?
Сотр: Да, вижу.
М: Там есть ссылка, откройте, там архив, а в нем каталог.
Сотр: Скачал, открыл, но ничего не вижу.
М: Поробуйте еще раз
Сотр: Щелкнул еще раз, ничего не происходит
М: Наверно у вас не установлена какая-то программа,
М: попробуйте переслать коллегам и открыть у них.
М: Надеюсь на взаимовыгодное сотрудничество, всего доброго.

Сисадмин, через 30 минут.

Звонок из бухгалтерии:
Бух: У меня перестали открываться документы, у Оли и Наташи тоже.
Бух: Опять вы там что-то делаете, а нам срочно работать надо.
Админ: Расскажите подробнее что случилось и что вы делали перед этим.
Бух: Ничего не делала, работала как обычно.
Бух: Вот сейчас нужен документ, а он не открывается.
Бух: Перезагрузила компьютер, думала поможет, но нет.
Бух: И почта не работает, нам из налоговой важный
Бух: документ прислали, не можем открыть.
Бух: Если через 5 минут не заработает, я буду жаловаться,
Бух: за что вам только деньги платят (бросает трубку).

Звонок из снабжения:
Сотр: Договор не открывается, а 10 минут назад все работало.
Админ: Расскажите что вы делали перед этим.
Сотр: Пытался открыть каталог, присланный по почте.

Как вы уже наверное догадались, это троян. Троян-шифровщик, представляющий собой скрипт с двойным расширением в архиве:
Документы для налоговой проверки(и еще куча букв и пробелов).doc.js
Каталог (куча пробелов).doc.js

Скрипт скачивает из интернета утилиту для шифрования, находит и шифрует все доступные файлы по маске doc, xls, ppt, docx, xlsx, jpg и т.д.
Далее на рабочем столе оставляет файл с инструкциями. И e-mail вымогателей (на gmail.com) для переговоров о выкупе ключа дешифровки.

В итоге шифрованные документы были удалены и восстановлены из резервной копии, ущерба нет.
Троян вобщем-то не нов, его вариации гуляют в сети не один год, а вот способ распространения удивил.