Створене шкідливе програмне забезпечення, націлене на користувачів операційної системи MS Windows. Спеціалісти з кіберполіції 11 грудня почали фіксувати факти розповсюдження цього шкідливого програмного забезпечення. Загалом воно було націлене на користувачів, які є приватними нотаріусами України.

Повідомлення із шкідливими додатками надходили начебто від імені державних установ, зокрема судів різних інстанцій.

Для зараження комп’ютерів користувачів зловмисники використовували декілька видів шкідливого програмного забезпечення (далі - ШПЗ), які мають схожий функціонал. При цьому, використовувались різні методи їх розповсюдження (наприклад, користувачі отримували архівні файли, які зовні виглядали як файли формату .pdf).

Злочинці навіть підробили зміст цих файлів – зовні вони виглядали як відсканований документ, створений від імені державної установи. В деяких інших випадках розповсюдження вірусу відбувалось за допомогою документів формату .docx із вбудованим шкідливим ʺOLEʺ об’єктом. Після відкриття документа користувачем, відбувався запуск шкідливого програмного забезпечення. Автоматично відбувалось додавання запису в реєстр операційної системи для його автозавантаження.

Під час поглибленого аналізу спеціалісти з кіберполіції встановили: кожен раз ШПЗ запускалось із теки системного диску за посиланням - :ProgramDataMicrotikwinserv.exe. Виявлене шкідливе програмне забезпечення переходило у прихований режим очікування з’єднання та в повній мірі надавало доступ до ресурсів комп’ютера жертви.

Згідно з результатами аналізу, вказане ШПЗ є модифікованою версією легального програмного забезпечення ʺRMS TektonITʺ.

Департамент кіберполіції, задля уникнення зараження своїх комп’ютерів, радить користувачам дотримуватися наступних порад:

По-перше, в жодному випадку не відкривати листи від сумнівних адресатів із сумнівним змістом. Перед відкриттям краще отримати підтвердження у відправника такого листа іншими можливими засобами зв’язку.

По-друге, встановити ліцензійне програмне забезпечення операційної системи та використовувати антивірусні програми.

По-третє,систематично оновлювати операційну систему та програмні продукти.

По-четверте, не надавати доступ стороннім особами до персонального комп’ютера.

Також ви можете самостійно заборонити автоматичний запуск ШПЗ. Для цього потрібно виконати наступні кроки:

- запустіть редактор реєстру. Для цього необхідно натиснути клавішу «Пуск» та внести для пошуку запис "regedit"

- Знайдіть наступну гілку реєстру - HKCUSoftwareMicrosoftWindowsCurrentVersionRun

- Власноруч видаліть знайдений запис такого змісту - «Microtik»

- на системному диску операційної системи видаліть теку - :ProgramDataMicrotik

– перезавантажте комп’ютер.


Національна поліція України