«Лаборатория Касперского» предупредила о вредоносной рассылке якобы от имени одного из финансовых регуляторов.

В компании сообщили, что рассылка началась в 23:30 29 сентября 2021 года. На электронную почту пользователей пришло письмо с темой: «Исх: № (здесь указывался произвольный номер). «Название регулятора» (Запрос документов)».

На данный момент эксперты видят более 11 000 попыток запуска этого вредоносного вложения, которое выглядит так:

Письмо содержит ПО для удалённого доступа (RMS). Эксперты «Лаборатории Касперского» отмечают, что при работе этого софта используются IP-адреса и домен в зоне ru, а при подключении к командным серверам задействованы порты 5651, 4443, 8080.

В компании рассказали, как поступить, если пользователь уже открыл вложение:

• Загрузить и установить антивирусный сканер или решение класса Internet Security;
• Отключиться от интернета;
• Перезагрузить компьютер в безопасном режиме;
• Удалить все временные файлы;
• Запустить сканирование на вирусы;
• Удалить вирус или поместить его в карантин;
• Перезагрузить компьютер;
• Поменять все пароли;
• Обновить ПО, браузер и операционную систему.

В «Лаборатории Касперского» отметили, что большинство антивирусов, включая их собственный, блокируют это ПО с вердиктом Backdoor.Win32.RABased.