Деякі українські підприємства 24 жовтня піддалися атаці з використанням вірусу-шифровальщика, повідомляє департамент кіберполіції Національної поліції України, передає Ukr.Media.
"Зазначена атака було не цілеспрямованою. Від її наслідків постраждали не тільки українські суб'єкти господарювання. Згідно з попереднім аналізом зазначена атака також була здійснена з використанням бот-мережі Necurs", – йдеться в інформації кіберполіції на її сторінці у Facebook.
Правоохоронці зазначають, що комп'ютери користувачів з операційною системою Windows, за однією з версій, були вражені в результаті відкриття файлів електронних документів з розширенням .doc і .rtf, які прямували по каналах електронної пошти від невстановлених відправників.
Після цього виконувався вбудовується в документи шкідливий алгоритм, в результаті якого завантажувався і виконувався файл - тіло вірусу під назвою "heropad64.exe". Після відпрацювання вказаного вірусу диск комп'ютера зашифровивався, на екрані зображувалося повідомлення з вимогою викупу за розшифровку файлів і посиланням на сайт в мережі ТОR, де можна отримати реквізити для переказу коштів у розмірі 0,05 ВТС.
"Для атаки хакери використовували вразливість DDE (Dynamic Data Exchange), Microsoft Office (CVE-2017-11826)", – зазначає киберполиция.
Голова наглядової ради Octava Capital Олександр Кардаков на своїй сторінці у Facebook підтвердив надходження в компанію 24 жовтня повідомлень про "вже не поодиноких випадках зараження модифікованими вірусами-шифрувальниками Locky і Trickbot". За його словами, масштабна атака цих вірусів була зафіксована в США і в світі в серпні - вересні поточного року.
Він пояснив, що вбудовані в додатки Microsoft Office функція DDE дозволяє одним з додатками Office завантажувати дані з інших додатків Office, однак зловмисники навчилися використовувати цю функцію DDE безпосередньо для виконання шкідливого коду.
"Згаданий функціонал не є уразливістю в повному розумінні, тому очікувати якихось оновлень "латочок" від Microsoft не варто. При спрацьовуванні функції DDE користувачеві демонструються явні попередження, от тільки не всі їх читають", – зазначив А. Кардаков.
Він рекомендував видаляти листи з вкладеннями з незнайомих і неперевірених адрес, не відкриваючи їх, а також користуватися засобами попереднього перегляду вмісту, не відкриваючи файли безпосередньо в додатках MS Office.
Як повідомлялося, про кібератаці 24 вересня заявили Одеський аеропорт і Київський метрополітен. Крім того, Міністерство інфраструктури України повідомило, що у зв'язку з отриманням низки повідомлень про можливу кіберзагрозі приймаються заходи по підвищенню інформаційної безпеки, а сайт міністерства тимчасово не працював.
