Новости
12.12.2018 16:45

На электронные ящики массово рассылают вирусы якобы от госучреждений

Выявленное вредоносное программное обеспечение предоставляет полный доступ к ресурсам компьютера жертвы.

Специалисты по киберполиции начали фиксировать факты распространения вредоносного программного обеспечения, замаскированного под сообщения от госучреждений и нацеленного на пользователей операционной системы MS Windows. В частности, 11 декабря такие вирусы рассылались пользователям, которые являются частными нотариусами Украины.

Об этом сообщили в Департаменте киберполиции Национальной полиции Украины.

Для передачи вредоносного программного обеспечения (ВПО) правонарушители использовали почтовые сервисы украинских компаний www.ukr.net и www.i.ua. Сообщение с вредными приложениями поступали якобы от имени государственных учреждений, в том числе судов различных инстанций.

Для заражения компьютеров пользователей злоумышленники использовали несколько видов вирусов, которые имеют схожий функционал. При этом использовались различные методы их распространения (например, пользователи получали архивные файлы, которые внешне выглядели как файлы формата .pdf).

Преступники даже подделали содержание этих файлов – внешне они выглядели как отсканированный документ, созданный от имени государственного учреждения. В других случаях распространение вируса происходило с помощью документов формата .docx со встроенным вредоносным «OLE» объектом. После открытия документа пользователем происходил запуск вредоносного программного обеспечения. Автоматически происходило добавления записи в реестр операционной системы для его автозагрузки.

Во время углубленного анализа специалисты по киберполиции установили: каждый раз ВПО запускалось с папки системного диска по ссылке «:\ProgramData\Microtik\winserv.exe». Обнаруженное вредоносное программное обеспечение переходило в скрытый режим ожидания соединения и в полной мере предоставляло доступ к ресурсам компьютера жертвы.

Согласно результатам анализа, указанное ВПО является модифицированной версией легального программного обеспечения «RMS TektonIT».

Во избежание заражения компьютеров указанным вирусом в киберполиции посоветовали пользователям придерживаться следующих советов.

Во-первых, ни в коем случае не открывать письма от сомнительных адресатов с сомнительным содержанием. Перед открытием лучше получить подтверждение у отправителя такого письма другими возможными средствами связи.

Во-вторых, установить лицензионное программное обеспечение операционной системы и использовать антивирусные программы.

В-третьих, систематически обновлять операционную систему и программные продукты.

В-четвертых, не предоставлять доступ посторонним лицами к персональному компьютеру.

Также пользователи могут самостоятельно запретить автоматический запуск ВПО. Для этого нужно выполнить следующие шаги:

  • запустить редактор реестра. Для этого необходимо нажать клавишу «Пуск» и внести для поиска запись «regedit»;
  • найти следующую ветку реестра – HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • собственноручно удалить найденную запись следующего содержания – «Microtik»;
  • на системном диске операционной системы удалить папку – «:\ProgramData\Microtik»;
  • перезагрузить компьютер.
758