25-10-2017 | категорія: Новини
Кібератака. Розповсюдження шифрувальника Locky через DDE-атаку (попередній аналіз)
В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.
Команді CERT-UA було надіслано для аналізу файл:
Рекомендації CERT—UA:
- Заблокувати доступ до зазначених посилань.
- Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826). (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
- Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
- Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
- Не працювати під правами адміністратора.
- Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
- Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.
Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України працює цілодобово для надання консультацій та допомоги щодо усунення наслідків або попередження кібератаки з використанням шифрувальника файлів. тел. 281-88-25, 281-88-05, email: cert@cert.gov.ua
Джерело: CERT-UA