Новости Новости 27.06.2017 в 23:50 comment

«M.E.doc — працює, як бджжжілка»: Киберполиция Украины назвала одного из виновников распространения вируса-шифровальщика Petya.A

author avatar
https://secure.gravatar.com/avatar/25f9b2416da07639967e18eb989e71c4?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/25f9b2416da07639967e18eb989e71c4?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

Сергій Кулеш

автор

Департамент киберполиции Национальной полиции Украины заявил, что сегодняшняя вирусная атака на украинские компании возникла из-за программы для отчетности и документооборота «M.E.doc».

По предварительным данным киберкопов, это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».

Обновление имеет хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, большинство легитимных обращений к серверу равны примерно 300 байтам. Сегодня утром, в 10:30 по киевскому времени, программа M.E.doc. была обновлена, апдейт составил примерно 333 кБ, после его загрузки происходили следующие действия:

  • создан файл rundll32.exe;
  • обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP;
  • создан файл perfc.bat;
  • запуск cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
  • создан файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и осуществлен его запуск;
  • создан файл dllhost.dat.

В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba, которая также использовалась во время атаки шифровальщика WannaCry.

Киберполиция Украины рекомендует временно не применять обновления, которые предлагает программное обеспечение «M.E.doc.» при запуске.

Онлайн-курс "Бренд-менеджмент" від Laba.
Розберіться в комплексному управлінні брендом: від його структури до комунікації з аудиторією.Дізнайтесь принципи побудови бренд-стратегії, проведення досліджень і пошуку свого споживача.
Детальніше про курс

Также украинские киберкопы отметили, что заражение через M.E.doc не стало единственным вектором атаки, среди способов распространения зловреда также фиксировался фишинг.

На сайте M.E.doc пока присутствует только предупреждение о том, что на сервера сервиса осуществляется вирусная атака, в связи с чем администрация просит у своих пользователей прощения за временные неудобства.

"M.E.doc - працює, як бджжжілка": Киберполиция Украины назвала одного из виновников распространения вируса-шифровальщика Petya.A

Обновлено:

Департамент киберполиции Национальной полиции Украины выложил еще одну запись на своей Facebook-странице, где указал, что «не обвиняет, а констатирует факты»:

Онлайн-курс "Бренд-менеджмент" від Laba.
Розберіться в комплексному управлінні брендом: від його структури до комунікації з аудиторією.Дізнайтесь принципи побудови бренд-стратегії, проведення досліджень і пошуку свого споживача.
Детальніше про курс

«Обращаем внимание, что мы не обвиняем компанию «M.E.doc», лишь констатируем выявленные факты, которые следует детально проверить.

Поэтому на период проверки мы не рекомендуем осуществлять соответствующие обновления. Мы должны были об этом предупредить пользователей.»

Источник: Киберполиция Украины


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить