Низка українських підприємств 24 жовтня зазнали атаки з використанням вірусу-шифрувальника, повідомляє департамент кіберполіції Національної поліції України.
"Зазначена атака була не цілеспрямованою. Від її наслідків постраждали не тільки українські суб'єкти господарювання. Згідно з попереднім аналізом, ця атака також була здійснена з використанням бот-мережі Necurs", - повідомляють у фейсбуці кіберполіції.
Правоохоронці вказують, що комп'ютери користувачів з операційною системою Windows, за однією з версій, були вражені в результаті відкриття файлів електронних документів із розширенням .doc і .rtf, які прямували каналами електронної пошти від невстановлених відправників.
Після цього виконувався вбудований у документи шкідливий алгоритм, у результаті якого завантажувався і активувався файл - тіло вірусу під назвою "heropad64.exe". Після відпрацювання зазначеного вірусу диск комп'ютера зашифровувався, на екрані зображувалося повідомлення з вимогою викупу за розшифровку файлів і посиланням на сайт у мережі ТОR, де можна отримати реквізити для переказу коштів у розмірі 0,05 ВТС.
"Для атаки хакери використовували вразливість DDE (Dynamic Data Exchange) в Microsoft Office (CVE-2017-11826)", - відзначає кіберполіція.
Голова наглядової ради Octava Capital Олександр Кардаков у фейсбуці написав про "випадки зараження модифікованими вірусами-шифрувальниками Locky і Trickbot". За його словами, масштабну атаку цих вірусів було зафіксовано в США і решті світу в серпні-вересні цього року.
Він пояснив, що вбудована в додатки Microsoft Office функція DDE дозволяє одним додаткам Office завантажувати дані з інших додатків Office, проте зловмисники навчилися використовувати цю функцію DDE безпосередньо для виконання шкідливого коду.
"Згаданий функціонал не є вразливістю в повному розумінні, тому очікувати якихось оновлень або "латочок" від Microsoft не варто. При спрацьовуванні функції DDE користувачеві демонструють попередження, от тільки не всі їх читають", - зазначив Кардаков.
Він рекомендував видаляти листи з вкладеннями з незнайомих і неперевірених адрес, не відкриваючи їх, а також користуватися засобами попереднього перегляду вмісту, не відкриваючи файли безпосередньо в додатках MS Office.
Нагадаємо, про кібератаку 24 жовтня заявили Одеський аеропорт і Київський метрополітен. Окрім того, Міністерство інфраструктури України повідомило, що в зв'язку з отриманням низки повідомлень про можливу кіберзагрозу вживають заходів для посилення інформаційної безпеки, а сайт міністерства тимчасово не працював.
Увечері СБУ заявила, що блокувала подальше поширення вірусу.