Основы Интернет - технологий.

Представители «СКБ Контур» сообщили, что злоумышленники рассылают вредоносное ПО от лица взломанных пользователей «Контур.Диадока». Клиентов предупреждают, что не нужно открывать полученные файлы. «С зараженного компьютера пользователя Контур.Диадока разослали zip-архивы с вредоносным программным обеспечением. Злоумышленник отправил их контрагентам пользователя-жертвы в виде неформализованного документа. Контрагенты начали открывать архив и запускать вредоносное ПО. После открытия вирус начал распространяться дальше, отправляя архивы уже контрагентам получателя», — пишут в компании. Отдельно отмечается, что на момент начала атаки малварь не обнаруживалась антивирусами, а в настоящее время ее детектируют только некоторые защитные решения. Чтобы избежать дальнейшего распространения атаки, разработчики «Контур.Диадока» заблокировали отправку зараженных документов и удалили уже отправленные. Так как между моментом отправки архива и его удалением из системы был временной зазор, некоторые пользователи могли получить зараженные вложения и запустить их. Специалисты компании связались с этими пользователями и предоставили им рекомендации по дальнейшим действиям. «Сам Диадок не взломан, — подчеркивается в заявлении. — Он продолжает работать, все данные клиентов находятся в безопасности. Для вредоносной рассылки использовали стандартную функциональность продукта по отправке документов: будьте внимательны при получении неформализованных документов, следуйте нашим рекомендациям». В «СКБ Контур» напоминают, что при получении архива следует действовать так же, как в случае с любым другим подозрительным файлом в почтовом сервисе — не запускать содержащиеся в нем исполняемые файлы. Всем, кто успел загрузить и открыть вложение рекомендуется сообщить об этом в подразделение информационной безопасности или ИТ-службу. Также в компании советуют обновить антивирус и провести полную проверку компьютера, попросив специалистов проверить подозрительные исходящие соединения. «Удалять из “Диадока” отправленные вирусы нет необходимости. Мы уже это сделали. Но просим вас проверить исходящие письма в электронной почте, так как вредоносное ПО распространяется через любую почтовую программу, и злоумышленник мог разослать его как через “Диадок”, так и через электронную почту. Это поможет защитить вас и ваших контрагентов от возможного заражения», — резюмируют представители компании. Как сообщается в отдельном бюллетене безопасности, от лица взломанных пользователей был разослан Buhtrap. Целью злоумышленников была кража денег через системы дистанционного банковского обслуживания (ДБО). Атака была нацелена на пользователей систем ДБО и иных сервисов отправки платежных поручений в различные банки. Присутствие трояна можно обнаружить по следующим признакам: появление нового exe-файла с необычным названием в локальном каталоге пользователя, например, C:Users***AppDataLocalPepebekapKebopeb.exe или C:Users***AppDataLocalKakobebabeLebobobela.exe; появление такого файла в списке автозагрузки; незапланированная установка программ удаленного доступа, таких как Anydesk или TeamViewer. Сообщается, что специалисты компании уже провели исследование и реверс-инжиниринг образцов вредоносного ПО с привлечением специалистов «Лаборатории Касперского». В итоге в сервисе «Контур.Диадок» предприняты следующие меры: выявлены и пресечены процессы распространения трояна среди клиентов, включая выборочное ограничение функциональности сервиса; заблокированы вредоносные файлы в объектном хранилище сервиса; актуализированы средства и системы обнаружения вредоносного ПО; производится непрерывный контроль за попытками распространения вредоносных файлов; проведена адресная работа с пострадавшими клиентами и оказание помощи в устранении последствий инцидента.