Les Ukrainiens sont attaqués par un virus informatique dangereux: Microsoft a expliqué comment se protéger

La liste des victimes de logiciels de prestige coïncide avec d'autres séries de cyberattaques associées aux pirates russes. Les entreprises d'Ukraine et de Pologne ont attaqué le programme de guerrier prestige, que les experts s'associent à la Russie. Microsoft a enquêté sur les incidents et a présenté ses conclusions sur le site officiel. Les pirates ont intensifié le virus informatique le 11 octobre le lendemain après les bombardements massifs de l'Ukraine par les troupes russes.

Les victimes ont rencontré des logiciels nocifs pendant une heure, et leur liste coïncide avec Foxblade (également connu sous le nom d'HermeticWiper) et d'autres attaques en Russie. Le programme reçoit l'accès aux comptes des utilisateurs, puis chiffre les fichiers, ajoute une extension "ENC" et nécessite un rachat en échange d'un outil de décryptage.

Pour les tentatives d'ouvrir l'un d'eux ouvre un document "Bloc-notes" avec une note de MaleFactors: "N'essayez pas de déchiffrer vos fichiers avec un logiciel tiers - cela peut entraîner une perte d'informations irréversible. N'essayez pas de modifier ou de renommer crypté fichiers. Vous les perdrez ". Microsoft a identifié plusieurs caractéristiques du virus du prestige, qui ne s'était pas déjà produite avec des experts en cybersécurité.

Ils croient que la distribution des guerriers dans une entreprise n'est pas un phénomène courant en Ukraine, et l'attaque n'est liée à aucun des 94 groupes actifs qui suivent Microsoft. Malgré des méthodes de déploiement similaires, la campagne de prestige est différente des attaques dévastatrices récentes utilisant Aprilxe (Arguepatch) / CaddyWiper ou Foxblade (HermeticWiper), qui ont touché plusieurs infrastructures critiques de l'Ukraine au cours des deux dernières semaines.

Le virus utilise la bibliothèque CryptOPP C ++ pour crypter chaque fichier approprié. Dans le processus de cryptage, une version de l'enceinte utilise la clé ouverte programmée de manière rigide RSA X509 (chaque version du prestige peut avoir une clé ouverte unique). Le logiciel supprime également les sauvegardes des fichiers afin qu'ils ne puissent pas être arrêtés à l'aide de la fonction de récupération du système.

Selon Microsoft, les attaquants commencent le virus après le piratage préliminaire et l'accès aux informations d'identification. Les experts ont fait des recommandations sur la façon de se protéger du prestige ou d'atténuer son préjudice: en mars, Microsoft a rapporté qu'un virus dangereux était tombé avant que la Fédération de Russie envahit l'Ukraine et ne pouvait la neutraliser en temps opportun. L'attaque visait les agences financières et gouvernementales.