В одной из организаций квазигосударственного сектора Казахстана было обнаружено заражение сети вирусом-шифровальщиком, а для дешифровки злоумышленники потребовали выплату в биткойнах — об этом сообщает АО «Государственная техническая служба».
Специалисты ГТС установили, что один из персональных компьютеров был зашифрован полностью, а системные логи очищены.
Зашифрованные файлы получили расширение (CW-WL3048625917) и выполнили команды, предназначенные для остановки различных служб и отключения определенных функций в операционной системе Windows, таких как SQL Server, служба виртуальных дисков, служба теневого копирования томов и брандмауэр Windows. В придачу шифровальщик скопировал самого себя в папку для установки в автозагрузки: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\, а в каталогах создал файл unlock-info.txt – текст с требованием выкупа.
Анализ показал, что кибератака, предположительно, была реализована таким образом:
Сотрудники KZ-CERT дали ряд рекомендаций, как сохранить часть файлов при заражении и предотвратить подобные случаи.