DVI

Понеділок, 24.07.2017, 17.40.06
Головна » 2017 » Червень » 29 » Кіберполіції України назвала одного з винуватців поширення вірусу-шифрувальника Petya.A
15.00.26
Кіберполіції України назвала одного з винуватців поширення вірусу-шифрувальника Petya.A
      Департамент кіберполіції Національної поліції України заявив, що вірусна атака на українські компанії виникла через програми для звітності та документообігу «M.E.doc».

За попередніми даними кіберкопів, це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до сервера: «upd.me-doc.com.ua» (92.60.184.55) за допомогою User Agent «medoc1001189».

Оновлення має хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, більшість легітимних звернень до сервера рівні приблизно 300 байтам. Вчора вранці, о 10:30 за київським часом, програма M.E.doc. була оновлена, апдейт склав приблизно 333 кБ, після його завантаження відбувалися такі дії:
  • створений файл rundll32.exe;
  • звернення до локальних IP-адресами на порт 139 TCP і порт 445 TCP;
  • створений файл perfc.bat;
  • запуск cmd.exe з командою /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
  • створений файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) і здійснений його запуск;
  • створений файл dllhost.dat.
Надалі шкідливе програмне забезпечення поширювалося за допомогою вразливості в протоколі Samba, яка також використовувалася під час атаки шифрувальника WannaCry.

Кіберполіції України рекомендує тимчасово не застосовувати оновлення, які пропонує програмне забезпечення «M.E.doc.» При запуску.

Також українські кіберкопи відзначили, що зараження через M.E.doc не стало єдиним вектором атаки, серед способів поширення зловредів також фіксувався фішинг.

На сайті M.E.doc поки присутнє тільки попередження про те, що на сервера сервісу здійснюється вірусна атака, в зв'язку з чим адміністрація просить у своїх користувачів вибачення за тимчасові незручності.
Департамент кіберполіції Національної поліції України виклав ще одну запис на своїй Facebook-сторінці, де вказав, що «не звинувачує, а констатує факти»:

«Звертаємо увагу, що ми не звинувачуємо компанію «M.E.doc», лише констатуємо виявлені факти, які слід детально перевірити.

Тому на період перевірки ми не рекомендуємо здійснювати відповідні оновлення. Ми повинні були про це попередити користувачів.»

Переглядів: 40 | Додав: dvi | Рейтинг: 0.0/0
Всього коментарів: 0
Ім'я *:
Email:
WWW:
Код *: