Вирус-шифровальщик массово атаковал компании

Уже пострадали несколько новостных сайтов

Во вторник произошла атака нового вируса-шифровальщика на компании в Украине, в Турции и Германии, при этом больше всего компаний было атаковано в России. Об этом заявили в компании Kaspersky.

Руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский сообщил, что атаки на компании в Турции, Германии и Украине наблюдаются в значительно меньшем количестве, чем в России. Вирус распространяется через ряд зараженных сайтов российских СМИ.

Он добавил, что признаки указывают на целенаправленность атаки на корпоративные сети. При этом методы атаки похожи на те, что наблюдались при действии вируса-шифровальщика ExPetr в июне. Связь с этим вирусом, тем не менее, пока не выявлена.

Между тем глава Group-IB Илья Сачков сообщил на своей странице в Facebook, что вирус-шифровальщик атаковал ряд СМИ и другие компании.

"Сейчас началось то, о чем мы предупреждали – новая волна шифровальщика BadRabbit атакующего российские СМИ. Group-IB достоверно известно о трех успешных атаках сегодня. Судя по экранам компьютеров, не похоже на Petya или Wannacry", – отметил Сачков.

Глава Group-IB добавил, что жертвами атаки вируса стали и другие компании, в частности в Украине. Так, не работают сайты российского информагентства Интерфакс, Фонтанка и издания Liga.net.

Между тем специалисты Команды быстрого реагирования на компьютерные чрезвычайные события Украины (CERT-UA) провели анализ зараженного файла, предоставленного источником. По результатам анализа специалисты заявляют о необходимости заблокировать доступ к определенным ссылкам. Это, в частности, hxxp://urcho.com/JHGGsdsw6; hxxp://tatianadecastelbajac.fr/kjhgFG; hxxp://video.rb-webdev.de/kjhgFG; hxxp://themclarenfamily.com/kjhgFG; hxxp://webhotell.enivest.no/cuYT39.enc; hxxp://gdiscoun.org.

В CERT-UA рекомендуют установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office. Найти обновление можно по ссылке: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826.

Системным администраторам и администраторам безопасности ведомство рекомендует обратить внимание на фильтрование входящих и исходящих информационных потоков, в частности почтового веб-трафика.

Также специалисты рекомендуют соблюдать правила безопасности почтовых сервисов. "Не работать под правами администратора. Ограничить возможность запуска исполняемых файлов (*.exe) на компьютерах пользователей из директорий% TEMP%,% APPDATA%", – дпли рекомендации специалисты.

Как ранее сообщали "Комментарии", вчера, 23 октября, с румынских ip-адресов рассылались ложные сообщения в СМИ от имени якобы пресс-службы СБУ о покушении на президента Украины Петра Порошенко. При этом украинская спецслужба не зарегистрировала никаких фактов взлома официальных почтовых и веб-ресурсов.