Последние несколько часов к нам поступают сообщения об уже не единичных случаях заражения модифицированными вирусами-шифровальщиками Locky и Trickbot. Масштабная атака этих вирусов "прогремела" в США и остальном мире в августе - сентябре текущего года и сегодня докатилась в Украину.
Для заражения вирусами используется встроенная в приложения Microsoft Office функция Microsoft Dynamic Data Exchange (DDE), которая позволяет одним приложениям Office загружать данные из других приложений Office. К примеру, таблица в текстовом файле в формате Word при его открытии будет автоматически загружать данные из табицы Excel. Однако, злоумышленники научились использовать функцию DDE непосредственно для выполнения вредоносного кода.Стоит отметить, что упомянутый функционал не является уязвимостью в полном смысле, потому ожидать каких-то обновлений или "заплаток" от Microsoft не стоит. При срабатывании функции DDE пользователю демонстрируются явные предупреждения, вот только не все их читают. Чаще всего на них не обращают никакого внимания и кликают "ОК" не глядя...
Итак, рекомендации для пользователей:
1. Удаляйте письма с вложениями от незнакомых и непроверенных адресов, не открывая их.
2. Если у вас MS Outlook и MS Exchange, не открывайте файлы непосредственно во приложениях MS Office, обязательно пользуйтесь средствами предварительного просмотра содержимого.
3. Внимательно читайте системные предупреждения и сообщения! При возникновении вопросов - сразу обращайтесь к специалистам.
Если вы системный администратор, выполните как минимум следующее:
1. Настройте вашу почтовую систему на перемещение подозрительных вложений в карантин с последующим углубленным сканированием.
2. Запретите доступ в Интернет для процессов WScript.exe, CScript.exe, Powershell.exe
3. Запретите чтение/запись в каталогах %appdata% и %temp% для файлов *.JS*, *.VB*, *.WS*, *.EXE
Безусловно, описанные рекомендации не дадют гарантий защиты, так как обеспечение кибербезопасности - комплексный и серьёзный вопрос. Однако, надеемся, они всё же смогут помочь многим из Вас избежать заражения.
Комментарии 1
О, спасибо за полезные советы. иногда бывает просто на автомате кликаешь по ссылке