Вірусна атака на українські компанії виникла через програму M.E.doc (програмне забезпечення для звітності та документообігу), інформує «Економічна правда».
Про це кіберполіції повідомляє на офіційній сторінці в Facebook.
«Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до сервера: «upd.me-doc.com.ua «(92.60.184.55) за допомогою User Agent» medoc1001189».
27 червня, о 10:30, програму M.E.doc оновили. Оновлення становило приблизно 333 кб, і після його завантаження відбувалися такі дії:
- створення файлу: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP і порт 445 TCP;
- створення файлу: perfc.bat;
- запуск cmd.exe з подальшою командою: /cschtasks/RU»SYSTEM»/Create/SConce/TN»/TR»C:\Windows\system32\shutdown.exe/r/f»/ST14:35»
- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) і його подальший запуск;
- створення файлу: dllhost.dat.
Надалі шкідливе програмне забезпечення поширювалося за допомогою вразливості в протоколі Samba (також використовувалася під час атак WannaCry)», - уточнює кіберполіція.
Кіберполіція рекомендує тимчасово не застосовувати оновлення M.E.doc, які пропонуються під час запуску.
Нагадаємо, 27 червня комп’ютерні системи українських банків та компаній було атаковано масовим інтернет-вірусом.
За попередньою інформацією, українські банки, установи, медіа, урядові інститути атакував вірус під назвою «Petya.A», що є різновидом вірусу WannaCry, який нещодавно пройшовся світом.
Відзначається, що листи, що містять вірус, приходили по електронній пошті протягом декількох тижнів.
Найбільша в історії хакерська атака на Україну поширюється по всьому світу, зокрема, комп'ютерні мережі виходять з ладу в Іспанії та Індії.