За наявною інформацією зловмисники отримали доступ до серверів та програмного забезпечення «M.E.Doc» та вбудували бекдор в одне з оновлень програми, завдяки чому отримали віддалений доступ до комп’ютерів користувачів «M.E.Doc» та мали можливість збирати конфіденційну інформацію, зокрема персональні дані (наприклад, інформацію про ЄДРПОУ, ідентифікаційні дані користувачів, інформації про проксі-сервери, поштові сервери та поштові скриньки організацій тощо).
Наочно це демонструє аналіз вихідного коду бібліотеки ZvitPublishedObjects.dll.
Ймовірно зараження відбулося ще в квітні і розповсюдження вірусу-шифрувальщика через оновлення «M.E.Doc» було направлено на видалення слідів атаки, про що свідчить шифрування файлів з потенційною неможливістю їх відновлення.
Власники мереж, які зазнали впливу цієї кібератаки, навіть відновивши комп’ютери після атаки, можуть стати потенційним об’єктом повторної атаки: існує висока ймовірність того, що зловмисникам відома інформація про мережі, паролі до облікових записів користувачів, адміністраторські паролі, приблизні схеми мереж, паролі до електронних поштових скриньок, ЕЦП тощо.
Для зниження означених ризиків та попередження повторного ураження вірусом Команда CERT-UA рекомендує:
1. Припинити використання ПЗ «M.E.Doc» до офіційного оголошення про вирішення проблеми, відключити від мережі комп’ютери, на яких воно було чи є встановленим. Рекомендуємо провести перезавантаження операційної системи на таких комп’ютерах.
2. Змініть всі паролі, які функціонують в мережі та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх ІР-адрес та структуру мережі – схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки.
3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat.
Для попередження шифрування потрібно створити файл C:\Windows\perfc. Перед початком процесу шифрування вірус перевіряє наявність файлу perfc в папці C:\Windows\, якщо файл вже існує вірус завершує роботу і не шифрує файли.
4. Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:
Рішення Cisco Talos https://www.talosintelligence.com/mbrfilter
вихідні коди доступні тут: https://github.com/Cisco-Talos/MBRFilter
Рішення Greatis http://www.greatis.com/security/
Свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/
5. Переконайтеся, що на всіх комп’ютерах встановлено антивірусне програмне забезпечення, воно функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановіть та/або проведіть оновлення антивірусного програмного забезпечення.
6. Встановіть офіційний патч MS17-010.
7. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445.
8. Обмежте можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.