![]()
Как стало достоверно известно на данный момент, вирусная атака на украинские компании возникла из-за программу "M. E. doc. " (Программное обеспечение для отчетности и документооборота). Об этом сообщается на странице Департамента киберполиции Нацполиции Украины в Фейсбук, передает Час Пик.
Это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: "upd. me-doc. com. ua" (92. 60. 184. 55) с помощью User Agent "medoc1001189".
Обновления имеет хэш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Большинство легитимниг "пингов" (обращений к серверу) равна примерно 300 байт.
Этим утром, в 10. 30, программа M. E. doc. была обновлена. Она составляла примерно 333кб, и после ее загрузки происходили следующие действия:
- создан файл: rundll32. exe;
- обращение к локальным IP-адресов на порт 139 TCP и порт 445 TCP;
-создание файла: perfc. bat;
- запуск cmd. exe с последующей командой: /c schtasks/ RU "SYSTEM"/ Create/SC once/TN ""/TR "C:Windowssystem32shutdown. exe/r/ f"/ST 14:35 " ;
- создание файла: ac3. tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
- создание файла: dllhost. dat.
В дальнейшем, вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry).
Ранеев СБУ дали рекомендации по защите компьютеров от кибератаки вируса-вымогателя
Читайте также:Теракт в Киеве совпал по времени с масштабной кибератакой, имеющей российский след - Турчинов