Два основні способи ураження вірусом Petya – фішинг та оновлення програми “M.E.doc” – кіберполіція

На теперішній час встановлено два основних способи ураження. Це «фішинг» та оновлення ПЗ “M.E.doc”. Про це кіберполіції повідомляє на офіційній сторінці в Facebook.

Станом на 16.40 год 28 червня кіберполіція розпочала 23 кримінальні провадження:

“За фактами втручання в роботу комп’ютерних мереж розпочато 23 кримінальні провадження. Із понад тисячі повідомлень про такі факти офіційно до поліції звернулися майже півсотні компаній. Решті допомогу і консультації надавали оперативники кіберполіції, які працювали у складі спеціально створеного оперативного штабу”, – повідомляє кіберполіція на офіційній сторінці Facebook.

Два основні способи ураження – фішинг та оновлення програми “M.E.doc”

“На теперішній час встановлено два основних способи ураження. Це «фішинг» та оновлення програмного забезпечення “M.E.doc”.

На даний момент неможливо розшифрувати файли, які були зашифровані даним ШПЗ. Кіберполіція спільно з провідними фахівцями у сфері кібербезпеки докладають максимальних зусиль для створення відповідного декриптора”, -повідомляє кіберполіція.

Способи поширення фішингових листів “Інтернет-свобода” пояснювала тут.

Інший спосіб – це оновлення програмного забезпечення “M.E.doc”. Кіберполіція повідомляє:

“Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до сервера: “upd.me-doc.com.ua “(92.60.184.55) за допомогою User Agent” medoc1001189″.

27 червня, о 10:30, програму M.E.doc оновили. Оновлення становило приблизно 333 кб, і після його завантаження відбувалися такі дії:

– створення файлу: rundll32.exe;

– звернення до локальних IP-адрес на порт 139 TCP і порт 445 TCP;

– створення файлу: perfc.bat;

– запуск cmd.exe з подальшою командою: /cschtasks/RU”SYSTEM”/Create/SConce/TN”/TR”C:\Windows\system32\shutdown.exe/r/f”/ST14:35″

– створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) і його подальший запуск;

– створення файлу: dllhost.dat.

Надалі шкідливе програмне забезпечення поширювалося за допомогою вразливості в протоколі Samba (також використовувалася під час атак WannaCry) “, – уточнює кіберполіція.

Кіберполіція рекомендує тимчасово не застосовувати оновлення M.E.doc, які пропонуються під час запуску.

Також Департамент кіберполіції звертається до всіх спеціалістів, які у складний для країни час не можуть бути осторонь від наслідків кібератаки, прийняти участь у розробці спільно з нашими фахівцями програми підбору паролей (volunteer@cyberpolice.gov.ua).

Нагадаємо, 27 червня комп’ютерні системи українських банків та компаній було атаковано масовим інтернет-вірусом.

За попередньою інформацією, українські банки, установи, медіа атакував вірус під назвою “Petya.A”, що є різновидом вірусу WannaCry, який нещодавньо пройшовся світом.

Відзначається, що листи, що містять вірус, приходили по електронній пошті протягом декількох тижнів.

Зокрема, радник глави МВС Антон Геращенко повідомив: “Лист містить вірус, який приходив в більшості випадків поштою. За кілька днів і навіть тижнів до сьогоднішнього дня. На сьогодні можна сказати що атака готувалася щонайменше місяць”.

Найбільша в історії хакерська атака на Україну поширюється по всьому світу, зокрема, комп’ютерні мережі виходять з ладу в Іспанії та Індії.

Читайте деталі найбільшої кібератаки в історії України тут.

Коментарі

data-url="http://netfreedom.org.ua/dva-osnovni-sposoby-urazhennia-virusom-petya-a-fisyng-ta-onovlennia-programy/" data-title="Два основні способи ураження вірусом Petya – фішинг та оновлення програми “M.E.doc” – кіберполіція">

Напишіть коментар

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *