Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала масові розповсюдження електронних листів, які містять програму для дистанційного керування пристроєм.
Що сталося
Українці почали отримувати на електронну пошту повідомлення начебто від імені державних органів, зокрема суду. Вони містять посилання на захищені паролем RAR і/або ZIP-архіви (наприклад, «Судовий запит №9978364774635676778282.rar_pass_123.zip») і розміщуються на відкритих хмарних сервісах Google Drive і DropMeFiles.
Після завантаження, розпакування і запуску вмісту архіву на комп’ютер жертви встановлюється цілком легітимна програма Remote Utilities, яка надає прихований віддалений доступ до пристрою третім особам. Програма працює і після перезавантаження комп’ютера. Це забезпечується створенням служби «RManService».
Як захиститись
У CERT-UA зазначають, що подібні кібератаки є систематичною активністю, спрямованою на державні органи України. Але не виключно — листи можуть надсилати і звичайним користувачам. Тому завжди треба бути уважним до файлів, які містяться в листах і завантажувати їх, тільки якщо ви впевнені у джерелі. Для видалення шкідливої програми треба:
- зупинити сервіс «RManService»;
- видалити каталог «%PROGRAMFILES(X86)%\Remote Utilities – Host\»;
- видалити ключ реєстру «HKLM\SOFTWARE\Usoris».