Про це йдеться на сайті служби.

Зазначається, що в результаті аналізу розповсюдження шифрувальника Locky через DDE-атаку визначено командно-контрольний центр шифрувальника: hxxp://gdiscoun.org

Індикатори компрометації:

hxxp://urcho.com/JHGGsdsw6
hxxp://tatianadecastelbajac.fr/kjhgFG
hxxp://video.rb-webdev.de/kjhgFG
hxxp://themclarenfamily.com/kjhgFG
hxxp://webhotell.enivest.no/cuYT39.enc
hxxp://gdiscoun.org

Рекомендації служби:

-Заблокувати доступ до зазначених посилань.

-Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826).  (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)

-Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).

-Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.

-Не працювати під правами адміністратора.

-Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

-Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.

Нагадаємо, 24 жовтня представники аеропорту «Одеса» та столичного метрополітену в Facebook повідомили про кібератаки.