IT обозрение
Суббота, 12 июля, 2025
No Result
View All Result
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта
  • ИИ
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта
  • ИИ
No Result
View All Result
IT обозрение
No Result
View All Result
Home Новости

Украинцев предупредили о возможной кибератаке на компьютерные системы

17.11.2018
A A
0
Share on FacebookShare on Twitter

Команда реагирования на компьютерные чрезвычайные события CERT-UA предупредила о подготовке возможной кибератаки на компьютерные системы Украины.

Об этом проинформировали в пресс-службе CERT-UA.

ЭТО ИНТЕРЕСНО

Пятничный чат ITC: Windows 25H2 наконец-то без «мусора», Gemini контролирует ваш смартфон и универсал-дальнобойщик от BYD

Пятничный чат ITC: Windows 25H2 наконец-то без «мусора», Gemini контролирует ваш смартфон и универсал-дальнобойщик от BYD

12.07.2025
Утечка зарплат «Супермена» — одна из звезд заработала в три раза больше, чем Дэвид Коренсвет

Утечка зарплат «Супермена» — одна из звезд заработала в три раза больше, чем Дэвид Коренсвет

12.07.2025

"CERT-UA совместно со Службой внешней разведки Украины обнаружила новые модификации вредоносного программного обеспечения типа Pterodo на компьютерах государственных органов Украины, что, вероятно, является подготовительным этапом для проведения кибератаки. Указанный вирус собирает данные о системе, регулярно отправляет их на командно-контрольные серверы и ожидает дальнейших команд", — отмечается в сообщении.

Версия NEW-SAR_v.14

Основным отличием модификации от предыдущих версий является возможность инфицирования системы через флэш-накопители и другие съемные носители информации, а также инфицирования флэш-накопителей, подключаемых к пораженному компьютеру для дальнейшего распространения.

Документы (.doc, .docx), изображения (.jpg) и текстовые файлы (.txt) копируются в скрытую папку MacOS с названиями FILE <произвольное число> <расширение> (например, FILE3462.docx), а на флэш-накопителе создаются ярлыки с оригинальными названиями файлов, которые обеспечивают одновременное открытие скопированного в папку MacOS оригинала файла и выполнение созданного вредоносного файла usb.ini.

Тело вируса всех версий выполняет такие же функции, как и предыдущие версии: направляет информацию о системе, самообновляется и при наличии загружает компоненты.

Кроме того, данная версия активируется только в системах с локализацией языков постсоветских государств, а именно: украинский, белорусский, русский, армянский, азербайджанский, узбекский, татарский и другие. Это усложняет анализ вируса популярными автоматическими системами анализа вредоносного ПО.

Версия arm_02.10

Основным отличием модификации является отображение сообщения при активации файла, что не позволяет сразу понять, что это запустилась вредоносная программа.

Кроме того, в данной версии для каждой пораженной системы есть индивидуальная url-директория с серийным номером накопителя, на котором установлена система (например, bitsadmin.ddns[.]net/00000/setup.exe, где "00000" — серийный номер, свидетельствующий о том, что злоумышленники анализируют полученную информацию об инфицированной системе и индивидуально для каждой системы определяют, какие новые приложения загружать и запускать).

фото11.png (42 KB)

Фото: cert.gov.ua

"Почерк" вредоносного программного обеспечения характерен для целенаправленных APT-атак и может свидетельствовать о подготовке к целенаправленной кибератаке на компьютерные системы Украины. Бэкдор Pterodo устанавливает скрытый доступ к компьютерным системам с целью использования или контроля в будущем, что может привести к утечке информации, блокированию работы, шифрованию данных и другим злонамеренным действиям", — подчеркивают в CERT-UA.

Вредные домены и IP (C2):

Версия: NEW-SAR_v.14:

hxxp://updates-spreadwork[.]pw — домен по состоянию на 13.11 был не активный.

Версия: arm_02.10:

hxxp://dataoffice.zapto[.]org
hxxp://bitsadmin.ddns[.]net.

Домены зарегистрированы в организации, оказывающей услуги динамических доменных адресов (DDNS), что позволяет быстро менять IP-адрес и скрывать реального владельца домена.

Вредоносные файлы:

Версія: NEW-SAR_v.14:

AdobeNetwork.exe (На флэш-накопителях- usb.ini)
ImagingDevices.exe
winhost.cmd
doc.lnk
jpg.lnk
txt.lnk
Softwarelink.lnk
flash.vbs

Директории, в которых размещаются упомянутые файлы:

Windows 7 та 10

%APPDATA%Adobe
%APPDATA%MicrosoftWindowsStart MenuProgramsStartup

WinXP

%WINDIR%Adobe
%USERPROFILE%Главное менюПрограммьіАвтозагрузка

Для всех ОС:

%TMP%7zSfz000

Версия: arm_02.10:

"Документ Microsoft Office Word.com"
"Cookie.exe"
"cokies.vbs"
"Cookies.sys"
"document.rar"
"CookiesERR.cmd"
macupdates.exe (для каждой системы может быть уникальный, одинаково только название).

Директории, в которых размещаются вредоносные файлы:

%APPDATA%LocalTemp7ZipSfx.001
%APPDATA%LocalTemp7ZipSfx.000
%USERPROFILE%CookiesERR
%APPDATA%MicrosoftIE
%APPDATA%MicrosoftWindowsStart MenuProgramsStartup
%USERPROFILE%

Контрмеры для удаления вируса:

— просканировать антивирусом;

— проверить вышеуказанные директории на наличие файлов. При обнаружении файлов – нужно удалить их из директории;

— проверить планировщик задач на наличие указанных записей (следует удалить их):

фото14.png (64 KB)

Рекомендации по предупреждению угрозы:

— обеспечить запрет на открытие вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают вопросы: например, автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; то, как автор обращается к адресату, является нетипичным и т.д.), а также в сообщениях с нестандартным текстом, побуждающим к переходу на подозрительные ссылки или к открытию подозрительных файлов;

— отключить автозапуск сменных носителей информации (флэш-накопителей) и проверять их антивирусом при подключении;

— при наличии подозрительного письма от известного адресата в телефонном режиме (или любым другим способом) проверить отправление такого письма. В случае неподтверждения — сохранить его на диск, заархивировать и переслать для исследования в CERT-UA;

— будьте бдительны при любых нестандартных ситуациях (например, при отображении сообщения операционной системой о невозможности открытия файла, необходимости установки программного обеспечения, запроса на разрешение выполнения операции);

— нужно отключить от сети Интернет подозрительное устройство для дальнейшей проверки;

— выключить шифрование, если оно разрешено;

— проверить выключение макросов в редакторе Microsoft Office Word;

— нужно использовать антивирус с обновленными базами сигнатур и лицензионную, обновленную операционную систему, а также программное обеспечение;

— регулярно осуществлять резервное копирование важных файлов, обновлять пароли доступа к важным системам и сканировать системы антивирусом.

СПРАВКА. Команда реагирования на компьютерные чрезвычайные события Украины (англ. Computer Emergency Response Team of Ukraine, CERT-UA) — специализированное структурное подразделение Государственного центра киберзащиты и противодействия киберугрозам Государственной службы специальной связи и защиты информации Украины. Основано в 2007 году.

Источник: bykvu.com

Читайте так-же

Пятничный чат ITC: Windows 25H2 наконец-то без «мусора», Gemini контролирует ваш смартфон и универсал-дальнобойщик от BYD
Новости

Пятничный чат ITC: Windows 25H2 наконец-то без «мусора», Gemini контролирует ваш смартфон и универсал-дальнобойщик от BYD

12.07.2025
0

То ли недели становятся короче, то ли время разогналось до невероятности, но мы как будто только вчера встречались с вами...

Read more
Утечка зарплат «Супермена» — одна из звезд заработала в три раза больше, чем Дэвид Коренсвет

Утечка зарплат «Супермена» — одна из звезд заработала в три раза больше, чем Дэвид Коренсвет

12.07.2025
24 мировых рекорда: электрогиперкар Rimac Nevera R за €2,3 млн демонстрирует потенциал EV

24 мировых рекорда: электрогиперкар Rimac Nevera R за €2,3 млн демонстрирует потенциал EV

12.07.2025
YouTube разворачивает плеер «как в Apple» и убирает страницу «Тренды»

YouTube разворачивает плеер «как в Apple» и убирает страницу «Тренды»

11.07.2025
Hyundai показала заряженный IONIQ 6 N: 641 л.с., 3,2 секунды до сотни и имитация звука ДВС

Hyundai показала заряженный IONIQ 6 N: 641 л.с., 3,2 секунды до сотни и имитация звука ДВС

11.07.2025

ТОП НОВОСТИ

Пятничный чат ITC: Windows 25H2 наконец-то без «мусора», Gemini контролирует ваш смартфон и универсал-дальнобойщик от BYD

Пятничный чат ITC: Windows 25H2 наконец-то без «мусора», Gemini контролирует ваш смартфон и универсал-дальнобойщик от BYD

12.07.2025
Мод превращает Dark Souls 3 в игру в стиле Bloodborne

Мод превращает Dark Souls 3 в игру в стиле Bloodborne

12.07.2025
Утечка зарплат «Супермена» — одна из звезд заработала в три раза больше, чем Дэвид Коренсвет

Утечка зарплат «Супермена» — одна из звезд заработала в три раза больше, чем Дэвид Коренсвет

12.07.2025
Sea of Thieves получит платные кастомные серверы в начале 2026 года

Sea of Thieves получит платные кастомные серверы в начале 2026 года

12.07.2025
24 мировых рекорда: электрогиперкар Rimac Nevera R за €2,3 млн демонстрирует потенциал EV

24 мировых рекорда: электрогиперкар Rimac Nevera R за €2,3 млн демонстрирует потенциал EV

12.07.2025

ПОПУЛЯРНОЕ

  • Новый геймплей Mafia: The Old Country – больше деталей через неделю

    Новый геймплей Mafia: The Old Country – больше деталей через неделю

    0 shares
    Share 0 Tweet 0
  • «Совершенное оружие. Война, саботаж и страх в киберэпоху»: как происходили самые громкие кибератаки в истории

    0 shares
    Share 0 Tweet 0
  • Нейросеть цифровых копий разума

    0 shares
    Share 0 Tweet 0
  • Ryzen 7 7700X, RTX 3060 и всего 20 ГБ свободного места — опубликованы системные требования Killing Floor 3

    0 shares
    Share 0 Tweet 0
  • Редкий случай, когда без переплаты за бренд. Обзор OnePlus 13 — в этот раз хорош

    0 shares
    Share 0 Tweet 0
  • Реклама
  • Контакты
  • Политика конфиденциальности
Реклама: digestmediaholding@gmail.com

Использование любых материалов сайта разрешается при условии ссылки на itoboz.com
Интернет-СМИ должны использовать открытую для поисковых систем гиперссылку. Ссылка должна размещаться в подзаголовке или в первом абзаце материала. Редакция может не разделять точку зрения авторов статей и ответственности за содержание републицируемых материалов не несет.

© 2010-2025 IT новости. All Rights reserved

No Result
View All Result
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта

Использование любых материалов сайта разрешается при условии ссылки на itoboz.com
Интернет-СМИ должны использовать открытую для поисковых систем гиперссылку. Ссылка должна размещаться в подзаголовке или в первом абзаце материала. Редакция может не разделять точку зрения авторов статей и ответственности за содержание републицируемых материалов не несет.

© 2010-2025 IT новости. All Rights reserved

wpDiscuz