Важливо! Кібератака у Кривому Розі

Фото: Первый Криворожский

Департамент кіберполіції стверджує, що вірусна атака на українські компанії сталася через програму M.E.Doc, яка використовується для електронного документообігу.

Про це повідомляється на сторінці Департаменту кіберполіції Національної поліції України у Facebook.

Це програмне забезпечення має вбудовану функцію оновлення. В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі SMB (яка також використовувалась під час атак WannaCry).

Кіберполіція рекомендує тимчасово не застосовувати оновлення, які пропонує програмне забезпечення M.E.doc. при запуску.

Читайте також: Вірус-здирник захопив Україну. Кривий Ріг у списку інфікованих

Виходячи з аналізу завантажувальної частини вірусу, можна з високим ступенем вірогідності стверджувати, що це нова модифікація трояна «Petya».

Під час аналізу встановлені схожі ділянки коду, використовується той же алгоритм криптування - Salsa20 з модифікованим розширенням ключа.

Депаратмент кіберполіції звертається до всіх спеціалістів, які у складний для країни час не можуть бути осторонь від наслідків кібератаки, взяти участь у розробці спільно з фахівцями програми підбору паролей.

На теперішній час кіберполіцією встановлено дві основні способи ураження. Це «фішинг» та оновлення M.E.doc.

Для запобігання потрібно оновлюватися і відключити протокол SMBv1.

Читайте також: Російський слід кібератаки в Україні є, - Турчинов

Департамент також рекомендує, за можливості, заблокувати на мережевому обладнанні або у настройках файерволу (брандмауеру) порти 137, 138, 139 та 445, які використовуються ШПЗ для розповсюдження у локальних мережах та встановити програмне забезпечення для захисту головного завантажувального запису (MBR) від внесення несанкціонованих змін.

На сайті M.E.Doc зазначається, що у травні під час чергового оновлення M.E.Doc почав поширюватися вірус XData Ransomware. Тоді теж з'явилися висновки про зв'язок між шкідливим програмним забезпеченням і бухгалтерською програмою.

При цьому M.E.Doc наполягає, що перед випуском кожного оновлення передає в антивірусні компанії свої файли для аналізу.


Пояснення кіберполіції, втім, не пояснює глобальний характер загроз, тому що вірусна атака зафіксована не тільки в Україні.