Спеціалісти з кіберполіції наразі фіксують факти розповсюдження шкідливого програмного забезпечення (далі — ШПЗ), націленого на користувачів операційної системи MS Windows.
Щоб надіслати ШПЗ, правопорушники використовували поштові сервіси українських компаній www.ukr.net та www.i.ua. Повідомлення зі шкідливими додатками надходили начебто від імені державних установ, зокрема судів різних інстанцій.
Зловмисники використовували декілька видів ШПЗ зі схожим функціоналом:
- архівні файли, які зовні виглядали як файли формату .pdf. Злочинці навіть підробили зміст цих файлів — зовні вони виглядали як відсканований документ, створений від імені державної установи;
- документи формату .docx із вбудованим шкідливим «OLE»-об’єктом.
Коли користувач відкривав документ, запускалося ШПЗ. Запис автоматично додавався у реєстр операційної системи й автозавантажувався.
Під час поглибленого аналізу спеціалісти з кіберполіції встановили: кожен раз ШПЗ запускали із теки системного диску за посиланням :\ProgramData\Microtik\winserv.exe. Виявлене ШПЗ переходило у прихований режим очікування з’єднання та повністю надавало доступ до ресурсів комп’ютера. За результатами аналізу, ШПЗ є модифікованою версією легального програмного забезпечення «RMS TektonIT».
Аби уникнути зараження комп’ютерів, Департамент кіберполіції радить користувачам:
- не відкривати листи від сумнівних адресатів із сумнівним змістом. Перед відкриттям краще отримати підтвердження у відправника про надсилання такого листа іншими можливими засобами зв’язку;
- встановити ліцензійне програмне забезпечення операційної системи та використовувати антивірусні програми;
- систематично оновлювати операційну систему та програмні продукти;
- не надавати доступ стороннім особам до персонального комп’ютера.
Також користувачі можуть самостійно заборонити автоматичний запуск ШПЗ. Для цього потрібно:
- запустити редактор реєстру — натиснути клавішу «Пуск» та внести для пошуку запис «regedit»;
- знайти гілку реєстру — HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- власноруч видалити знайдений запис змісту — «Microtik»;
- на системному диску операційної системи видалити теку — «:\ProgramData\Microtik»;
- перезавантажити комп’ютер.
Джерело: Офіційний сайт Кіберполіції України
