11 грудня спеціалісти кіберполіції зафіксували розповсюдження нового шкідливого програмного забезпечення (ШПЗ), яке заражує операційну систему Windows. Виявлені атаки були направлені на приватних нотаріусів. Повідомлення із шкідливими додатками надходили їм начебто від імені державних установ, зокрема судів різних інстанцій.
Для зараження комп'ютерів користувачів зловмисники використовували декілька видів ШПЗ схожого функціоналу. При цьому використовувались різні методи його розповсюдження. Наприклад, користувачі отримували архівні файли, які зовні виглядали як файли формату .pdf - начебто, відсканований документ від імені держустанови. В деяких інших випадках розповсюдження вірусу відбувалось за допомогою документів формату .docx із вбудованим активним об'єктом. Після його відкриття запускалось ШПЗ та додавався запис в реєстр операційної системи для його автозавантаження.
Кіберполіція встановила, що кожен раз ШПЗ запускалось із теки системного диску: \ProgramData\Microtik\winserv.exe. Потім воно переходило у прихований режим очікування з'єднання та надавало доступ до ресурсів комп'ютера. Згідно з результатами проведеного спеціалістами аналізу, вказане ШПЗ є модифікованою версією легального програмного забезпечення RMS TektonIT.
Для уникнення зараження свого комп'ютера кіберполіція нагадує правила комп'ютерної «гігієни»:
1) не відкривати листи від сумнівних адресатів із сумнівним змістом (перед цим краще отримати підтвердження у відправника іншими можливими засобами зв'язку);
2) встановити ліцензійне програмне забезпечення операційної системи та використовувати антивірусні програми;
3) систематично оновлювати операційну систему та програмні продукти.
4) не надавати доступ стороннім особами до комп'ютера.
У випадку, якщо таке ШПЗ вже потрапило на комп'ютер, кіберполіція повідомила, що користувач самостійно може заборонити його запуск. Для цього потрібно:
- запустити редактор реєстру (натиснути клавішу «Пуск» та внести для пошуку запис «regedit»;
- знайти гілку реєстру - HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- видалити запис «Microtik»;
- на системному диску операційної системи видалити теку :\ProgramData\Microtik;
- перезавантажити комп'ютер.