Для нормальной работы сайта необходимо разрешить JavaScript, включая скрипты с доменов googlesyndication.com и doubleclick.net для отображения системы поиска по сайту и прочих сервисов Google.

«M.E.doc — працює, як бджжжілка»: Киберполиция Украины назвала главного виновника распространения вируса-шифровальщика Petya.A

logo

«M.E.doc — працює, як бджжжілка»: Киберполиция Украины назвала главного виновника распространения вируса-шифровальщика Petya.A Департамент киберполиции Национальной полиции Украины заявил, что вирусная атака на украинские компании возникла из-за программы для отчетности и документооборота «M.E.doc».

По предварительным данным киберкопов, это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».

Обновления имеет хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, большинство легитимных обращений к серверу равны примерно 300 байтам. Сегодня утром, в 10:30 по киевскому времени, программа M.E.doc. была обновлена, апдейт составил примерно 333 кБ, после его загрузки происходили следующие действия:

  • создан файл rundll32.exe;
  • обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP;
  • создан файл perfc.bat;
  • запуск cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
  • создан файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и осуществлен его запуск;
  • создан файл dllhost.dat.

В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba, которая также использовалась во время атаки шифровальщика WannaCry.

Киберполиция Украины рекомендует временно не применять обновления, которые предлагает программное обеспечение «M.E.doc.» при запуске.


Также украинские киберкопы отметили, что заражение чезер M.E.doc не стало единственным вектором атаки, среди способов распространения зловреда также фиксировался фишинг.

Рекомендуемый контент



Добавить комментарий

АХТУНГ! Все комменты модерасятся модерастом. Мессаги исключительно рекламного или оскорбительного содержания не публикуются, а поэтому злостным спамерам, пранкерам и прочей сетевой нечисти рекомендуем напрасно не тратить своего времени и удовлетворять свои больные фантазии на специализированных Интернет ресурсах! Разумная же критика, замечания, дополнения и хвалебные оды приветствуются, также допускается легкий флуд или троллинг :)


Защитный код
Обновить

Рейтинг@Mail.ru 16 megabytes