Правительственная CERT-UA предупредила об опасных письмах, которые украинцы получают на электронную почту

Правительственная команда реагирования на чрезвычайные события Украины CERT-UA зафиксировала массовые распространения электронных писем, содержащих программу для дистанционного управления устройством.

Что произошло

Украинцы начали получать на электронную почту уведомление якобы от имени государственных органов, в частности суда. Они содержат ссылки на защищенные паролем RAR и/или ZIP-архивы (например, «Судебный запрос №9978364774635676778282.rar_pass_123.zip») и размещаются на открытых облачных сервисах Google Drive и DropMeFiles.

После загрузки, распаковки и запуска содержимого архива на компьютер жертвы устанавливается вполне легитимная программа Remote Utilities, предоставляющая третьим лицам скрытый удаленный доступ к устройству. Приложение работает и после перезагрузки компьютера. Это обеспечивает создание службы RManService.

Как защититься

СERT-UA отмечают, что подобные кибератаки являются систематической активностью, направленной на государственные органы Украины. Но не только — письма могут присылать и обычным пользователям. Поэтому всегда нужно быть внимательным к файлам, содержащимся в письмах, и загружать их, только если вы уверены в источнике. Для удаления вредоносной программы нужно:

• остановить сервис «RManService»;
• удалить каталог «%PROGRAMFILES(X86)%\Remote Utilities – Host\»;
• удалить ключ реестра “HKLM\SOFTWARE\Usoris”.