Створене шкідливе програмне забезпечення, націлене на користувачів операційної системи MS Windows. Спеціалісти з кіберполіції 11 грудня почали фіксувати факти розповсюдження цього шкідливого програмного забезпечення. Загалом воно було націлене на користувачів, які є приватними нотаріусами України.
Повідомлення із шкідливими додатками надходили начебто від імені державних установ, зокрема судів різних інстанцій.
Для зараження комп’ютерів користувачів зловмисники використовували декілька видів шкідливого програмного забезпечення (далі – ШПЗ), які мають схожий функціонал. При цьому, використовувались різні методи їх розповсюдження (наприклад, користувачі отримували архівні файли, які зовні виглядали як файли формату .pdf).
Злочинці навіть підробили зміст цих файлів – зовні вони виглядали як відсканований документ, створений від імені державної установи. В деяких інших випадках розповсюдження вірусу відбувалось за допомогою документів формату .docx із вбудованим шкідливим ʺOLEʺ об’єктом. Після відкриття документа користувачем, відбувався запуск шкідливого програмного забезпечення. Автоматично відбувалось додавання запису в реєстр операційної системи для його автозавантаження.
Під час поглибленого аналізу спеціалісти з кіберполіції встановили: кожен раз ШПЗ запускалось із теки системного диску за посиланням – :\ProgramData\Microtik\winserv.exe. Виявлене шкідливе програмне забезпечення переходило у прихований режим очікування з’єднання та в повній мірі надавало доступ до ресурсів комп’ютера жертви.
Згідно з результатами аналізу, вказане ШПЗ є модифікованою версією легального програмного забезпечення ʺRMS TektonITʺ.
Департамент кіберполіції, задля уникнення зараження своїх комп’ютерів, радить користувачам дотримуватися наступних порад:
По-перше, в жодному випадку не відкривати листи від сумнівних адресатів із сумнівним змістом. Перед відкриттям краще отримати підтвердження у відправника такого листа іншими можливими засобами зв’язку.
По-друге, встановити ліцензійне програмне забезпечення операційної системи та використовувати антивірусні програми.
По-третє,систематично оновлювати операційну систему та програмні продукти.
По-четверте, не надавати доступ стороннім особами до персонального комп’ютера.
Також ви можете самостійно заборонити автоматичний запуск ШПЗ.
Для цього потрібно виконати наступні кроки:
– Запустіть редактор реєстру. Для цього необхідно натиснути клавішу «Пуск» та внести для пошуку запис “regedit”
– Знайдіть наступну гілку реєстру – HKCU\Software\Microsoft\Windows\CurrentVersion\Run
– Власноруч видаліть знайдений запис такого змісту – «Microtik»
– На системному диску операційної системи видаліть теку – :\ProgramData\Microtik
– Перезавантажте комп’ютер
Джерело: Урядовий портал