Nemucod - троян-загрузчик, распространяющий трояна-шифратора TeslaCrypt


Nemucod (Eset) - троян-загрузчик, который используется для распространения шифратора TeslaCrypt, вымогающего биткоины.

Распространяется Nemucod через сообщения электронной почты с ZIP-архивом в приложении. Письма имитируют официальную отправку счета-фактуры и рассылаются с реально существующих адресов уже скомпрометированных пользователей.

В рассылаемом архиве содержится не исполняемый файл, а файл JavaScript. Это позволяет злоумышленникам обойти решения для защиты почтовых серверов, детектирующие формат .ехе.

Phishingovoe soobshenie Nemucod
Фишинговое сообщение Nemucod

После заражения системы Nemucod загружает в нее другое программное обеспечение, включая новую модификацию шифратора TeslaCrypt, ранее использовавшимся в атаках на российских пользователей.

TeslaCrypt - вредоносная программа, шифрующая текстовые документы, изображения и видео. В большинстве случаев зашифрованные файлы не подлежат восстановлению, даже если пользователь заплатит выкуп.

Soobshenie o zarajenii TeslaCrypt
Сообщение о заражении TeslaCrypt

Вредоносная кампания ориентирована на англоговорящих пользователей. В статистике заражений Nemucod преобладают:

  • Великобритания;
  • Австралия;
  • Канада;
  • Япония.


При этом в некоторых регионах число обнаружений Nemucod достигало 75% в общем объеме детектированных вредоносных программ.