Специалисты из киберполиции 11 декабря начали фиксировать факты распространения вредоносного программного обеспечения, нацеленного на пользователей операционной системы MS Windows, которые являются частными нотариусами Украины.

Сообщения с вредоносными приложениями поступали якобы от имени государственных учреждений, в частности судов различных инстанций.

Для заражения компьютеров пользователей злоумышленники использовали несколько вредоносных программ со сходным функционалом. При этом использовались различные методы их распространения (например, пользователи получали архивные файлы, которые внешне выглядели как файлы формата .pdf).

Преступники даже подделали содержание этих файлов – внешне они выглядели как отсканированный документ, созданный от имени государственного учреждения. В некоторых других случаях распространение вируса происходило с помощью документов формата .docx со встроенным вредоносным OLE-объектом. После открытия документа пользователем, происходил запуск вредоносного программного обеспечения. Автоматически происходило добавление записи в реестр операционной системы для его автозагрузки.

Во время углубленного анализа специалисты из киберполиции установили: каждый раз вредоносное программное обеспечение запускалось из папки системного диска по ссылке :\ProgramData\Microtik\winserv.exe. Обнаруженное ВПО переходило в скрытый режим ожидания соединения и в полной мере предоставляло доступ к ресурсам компьютера жертвы.

Согласно результатам анализа, указанное ВПО является модифицированной версией легального программного обеспечения «RMS TektonIT».

Во избежание заражения своих компьютеров, департамент киберполиции рекомендует пользователям придерживаться следующих правил:

Во-первых, ни в коем случае не открывать письма от сомнительных адресатов с сомнительным содержанием. Перед открытием лучше получить подтверждение у отправителя такого письма с помощью других доступных средств связи.

Во-вторых, установить лицензионное программное обеспечение операционной системы и использовать антивирусные программы.

В-третьих, систематически обновлять операционную систему и программные продукты.

В-четвертых, не предоставлять посторонним лицами доступ к персональному компьютеру.

Также вы можете самостоятельно запретить автоматический запуск ВПО. Для этого нужно выполнить следующие шаги:

– Запустить редактор реестра. Для этого необходимо нажать клавишу «Пуск» и ввести для поиска запись «regedit»

– Найти следующую ветку реестра – HKCU\Software\Microsoft\Windows\CurrentVersion\Run

– Собственноручно удалить найденную запись такого содержания – «Microtik»

– На системном диске операционной системы удалить папку :\ProgramData\Microtik

– Перезагрузить компьютер.