NewsONE

Специалисты рассказали, как защититься от нового компьютерного вируса Locky

Команда реагирования на компьютерные чрезвычайные ситуации Украины рассказала, как действовал вирус, который атаковал компьютерные системы нескольких стран, включая и Украину.  Об этом стало известно из сообщения, размещенном на сайте CERT-UA.

"В атаке 24.10.2017 на некоторые объекты инфраструктуры Украины использовалась техника DDE, которая активировала выполнения вредоносного кода на компьютере пользователя. Обнаружить DDE-атаку можно с помощью следующей YARA-сигнатуры: YARA rules Office DDE", - говорится в сообщении.

В результате активации пользователем ole-гиперссылки активировался powershell-script. Данный скрипт вешал на систему пользователя закодированные base64-алгоритмом данные. Скрипт вешал на систему с одной из доступных на момент активации url адресов загрузчик под названием heropad64.exe, который в дальнейшем вешал на компьютер пользователя шифровальщика файлов Locky. Файл heropad64.exe вешал шифровальщика файлов Locky с url "hxxp: //webhotell.enivest.no/cuYT39.enc". Данные позже расшифровывались и собирались в MZ / PE файла.

Дабы защититься от вируса CERT-UA предлагают провести следующие меры предосторожности:

  1. Заблокировать доступ к указанным ссылкам.
  2. Установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office (CVE-2017-11826). (Https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
  3. Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и т.д., а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов и т.д.).
  4. Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности веб-трафика.
  5. Не работать под правами администратора.
  6. Ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий% TEMP%,% APPDATA%.

Как сообщал NewsOne ранее, Служба безопасности Украины предотвратила распространение компьютерного вируса в украинском сегменте интернета.