11 декабря специалисты киберполиции зафиксировали распространение нового вредоносного программного обеспечения (ВПО), которое заражает операционную систему Windows. Выявленные атаки были направлены на частных нотариусов. Сообщения с вредными приложениями поступали им якобы от имени государственных учреждений, в том числе судов различных инстанций.
Для заражения компьютеров пользователей злоумышленники использовали несколько видов ВПО похожего функционала. При этом использовались различные методы его распространения. Например, пользователи получали архивные файлы, которые выглядели как файлы формата .pdf - якобы, отсканированный документ от имени госучреждения. В других случаях распространение вируса происходило с помощью документов формата .docx со встроенным активным объектом. После его открытия запускалось ВПО, и добавлялась запись в реестр операционной системы для его автозагрузки.
Киберполиция установила, что каждый раз ВПО запускалось из папки системного диска :\ProgramData\Microtik\winserv.exe. Потом оно переходило в скрытый режим ожидания соединения и предоставляло доступ к ресурсам компьютера. Согласно результатам проведенного специалистами анализа, указанное ВПО является модифицированной версией легального программного обеспечения RMS TektonIT.
Для избежания заражения своего компьютера киберполиция напоминает правила компьютерной «гигиены»:
1) не открывать письма от сомнительных адресатов и с сомнительным содержанием (перед этим лучше получить подтверждение у отправителя);
2) установить лицензионную операционную систему и использовать антивирусные программы;
3) систематически обновлять операционную систему и программные продукты;
4) не предоставлять доступ посторонним лицами к компьютеру.
В случае, если данное ВПО уже попало на компьютер, киберполиция сообщила, что пользователь самостоятельно может запретить его запуск. Для этого нужно:
- запустить редактор реестра (нажать клавишу «Пуск» и внести для поиска запись «regedit»);
- найти ветку реестра - HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- удалить запись «Microtik»;
- на системном диске компьютера удалить папку :\ProgramData\Microtik;
- перезагрузить компьютер.
