Не встигла Україна оговтатись від нещодавньої хакерської атаки вірусу Petya.A, як в мережі з’являються дані щодо нової загрози. Департамент безпеки НБУ попередив про появу та розповсюдження зловмисного коду. Розповсюдження вірусу здійснюється шляхом розсилки електронних листів з кодом, який замасковано під документ Microsoft Word.
Новий вірус використовує малопоширену вразливість Microsoft Word CVE-2015-2545. Нацбанк рекомендує негайно вжити заходи, аби уникнути атаки. А саме встановити відповідний патч від виробника компанії.
Характер поведінки шкідливого коду, його масове поширення і той факт, що на момент поширення він не визначався жодним антивірусним програмним забезпеченням, дає підстави припускати, що ця акція є підготовкою до масової кібернетичної атаки на корпоративні мережі підприємств України, – заявили у Нацбанку.
Також відомо, що про можливість атаки вже попереджала кіберполіція. Ймовірною датою називали День Незалежності України – 24 серпня. Адже напередодні Дня Конституції вже була скоєна атака вірусом Petya.A. Хакерські дії були спрямовані на українські банки, державні інтернет-ресурси та локальні мережі. Також була заблокована робота комп’ютерних систем.
Для IT-фахівців викладено ключові особливості та індикатори компетенції вірусу:
- документ Microsoft Word інтегрований файлом *.eps
- запуск процесу FLTLDR.EXE% COMMONPROGRAMFILES% \ Microsoft Shared \ GRPHFLT \ EPSIMP32.FLT за відкриття такого файлу
- спроба способу з’єднання за адресою 137.74.224.142:80 як безпосередньо, так і через проксі-сервер
- характерна особливість запиту GET /z/get.php?name= < 8-значний код