18.08.2017

Новая угроза атакует банки Украины

Новая угроза атакует банки Украины

Компания ESET — лидер в области проактивного обнаружения — сообщает о появлении новой угрозы, которая атакует банки Украины, Беларуси, России и Казахстана. Вредоносная программа распространяется через электронные письма с вредоносным документом во вложении. Отправленный злоумышленниками файл использует уязвимость CVE-2015-2545 в Microsoft Office. Стоит отметить, что эта уязвимость была устранена еще в сентябре 2015 года в исправлении MS15-099.

Рис. 1. Пример письма с вредоносным вложением

Через некоторое время компания Microsoft исправила еще несколько важных уязвимостей — CVE-2017-0261 (исправлена в апреле 2017 года) и CVE-2017-0262 (исправлена в апреле 2017 года). Поскольку все эти уязвимости использовали EPS-объекты, в последних обновлениях Microsoft отключила функцию использования EPS-файлов. Таким образом, пользователям с актуальными обновлениями программного обеспечения вредоносная программа не угрожает.

В связи с возможностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям установить актуальные обновления программного обеспечения Microsoft Office и использовать надежные решения для защиты компьютеров. Стоит отметить, что продукты ESET обнаруживают угрозу как Win32/Exploit.CVE-2015-2545.CA или Win32/Exploit.CVE-2015-2545.CB.

В случае невозможности обновить Microsoft Office пользователям необходимо отключить EPS- объекты одним из следующих способов:

Первый способ:

1. Нужно найти в реестре ключ:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 32-битной Windows);
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 64-битной Windows);
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для групповой политики).

2. В этом ключе создать значение типа DWORD с именем AllowListEnabled (если такого нет).

3. После создания такого значения, нужно присвоить ему 0x1.

4. Далее создать пустое значение типа REG_SZ с именем EPSIMP32.FLT.

Рис. 2. Пример вида реестра в приложении

Второй способ:

Необходимо найти на диске файл EPSIMP32.FLT и переименовать его. Как правило, он расположен тут: C:\Program Files\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 32 битных Windows) или тут: C:\Program Files (x86)\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 64-битных Windows).

При этом манипуляции с реестром или с файлом не влияют на основную работоспособность пакета Microsoft Office. Если файл EPSIMP32.FLT переименован, то при открытии файлов с внедренным EPS-объектом будет показано окно с просьбой установить этот фильтр.

Рис. 3. Пример окна с просьбой установить фильтр

Третий способ:

В консоли, запущенной от имени администратора, выполнить следующие команды:

  • Для 32-битной Windows:

    takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)
     
  • Для 64-битной Windows:

    takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)

Если нужно будет сделать откат изменений, то следует выполнить такую команду от имени администратора:

  • Для 32-битной Windows:

    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT
     
  • Для 64-битной Windows:

    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT

Стоит отметить, эти команды необходимо выполнять только при отсутствии возможности обновить Microsoft Office. В случае применения обновления MS Office EPS-объекты выключаются автоматически.

В связи с высокой активностью данной угрозы специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила безопасности при работе в Интернете, всегда устанавливать актуальные обновления операционной системы и программного обеспечения, а также использовать надежные решения для защиты своих компьютеров.

Новости

Новая угроза атакует банки Украины Новая угроза атакует банки Украины

Вредоносная программа распространяется через электронные письма с вредоносным документом во вложении. Отправленный злоумышленниками файл использует уязвимость CVE-2015-2545 в Microsoft Office

18.08.2017 | 11:10
читать далее >>>
В НБУ высказались касательно планов 'Укрпочты' стать банком В НБУ высказались касательно планов "Укрпочты" стать банком

Нацбанк считает необходимым предварительное получение заключения Кабинета Министров о перспективах данного проекта.

17.08.2017 | 16:20
читать далее >>>
В Украине сокращается количество банковских отделений В Украине сокращается количество банковских отделений

Так, сейчас в стране работают 9,8 тыс. банковских отделений.

17.08.2017 | 15:27
читать далее >>>
Нацбанк утвердил положение об электронной подписи Нацбанк утвердил положение об электронной подписи

НБУ отмечает, что реализация норм указанного положению способствует снижению себестоимости банковских продуктов, что, соответственно, снизит конечную стоимость услуг для клиентов, а также повысит качество и скорость обслуживания банками своих клиентов.

17.08.2017 | 10:40
читать далее >>>
Кредитная карта - не роскошь, а способ оплаты Кредитная карта - не роскошь, а способ оплаты

Еще 10-20 лет назад кредитная карта была аналогом богатства, привилегий и могла принадлежать только бизнесмену (или бизнесвумен). Вы тоже улыбнулись, вспомная это время и глядя на свой кошелек, буквально набитый всевозможными картами разных банков?

17.08.2017 | 09:21
читать далее >>>
НБУ прогнозирует прибыльность банковского сектора в 2017 году НБУ прогнозирует прибыльность банковского сектора в 2017 году

По данным регулятора, в 1-м квартале чистые процентные доходы банков составили 11,6 млрд гривен, во 2-м квартале – 12,5 млрд гривен, чистые комиссионные доходы – 6,6 и 7,1 млрд гривен соответственно.

16.08.2017 | 16:15
читать далее >>>
Активы банков-банкротов распродали почти на 138 млн грн, — ФГВФЛ Активы банков-банкротов распродали почти на 138 млн грн, — ФГВФЛ

Из них на 68,55 млн грн состоялись аукционы по продаже основных средств, 62,53 млн грн — аукционы по реализации прав требований по кредитам.

16.08.2017 | 15:20
читать далее >>>
Госбанки в Украине возобновили выдачу 'теплых кредитов' Госбанки в Украине возобновили выдачу "теплых кредитов"

    С начала действия программы “теплых кредитов” ею воспользовалось около 300 тыс. домохозяйств.

15.08.2017 | 17:13
читать далее >>>
Новости JOIN