Команда реагирования на компьютерные чрезвычайные ситуации Украины рассказала, как действовал вирус, который атаковал компьютерные системы нескольких стран, включая и Украину. Об этом стало известно из сообщения, размещенном на сайте CERT-UA.
"В атаке 24.10.2017 на некоторые объекты инфраструктуры Украины использовалась техника DDE, которая активировала выполнения вредоносного кода на компьютере пользователя. Обнаружить DDE-атаку можно с помощью следующей YARA-сигнатуры: YARA rules Office DDE", - говорится в сообщении.
В результате активации пользователем ole-гиперссылки активировался powershell-script. Данный скрипт вешал на систему пользователя закодированные base64-алгоритмом данные. Скрипт вешал на систему с одной из доступных на момент активации url адресов загрузчик под названием heropad64.exe, который в дальнейшем вешал на компьютер пользователя шифровальщика файлов Locky. Файл heropad64.exe вешал шифровальщика файлов Locky с url "hxxp: //webhotell.enivest.no/cuYT39.enc". Данные позже расшифровывались и собирались в MZ / PE файла.
Дабы защититься от вируса CERT-UA предлагают провести следующие меры предосторожности:
- Заблокировать доступ к указанным ссылкам.
- Установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office (CVE-2017-11826). (Https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
- Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и т.д., а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов и т.д.).
- Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности веб-трафика.
- Не работать под правами администратора.
- Ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий% TEMP%,% APPDATA%.
Как сообщал NewsOne ранее, Служба безопасности Украины предотвратила распространение компьютерного вируса в украинском сегменте интернета.