18.08.2017

Новая угроза атакует банки Украины

Новая угроза атакует банки Украины

Компания ESET — лидер в области проактивного обнаружения — сообщает о появлении новой угрозы, которая атакует банки Украины, Беларуси, России и Казахстана. Вредоносная программа распространяется через электронные письма с вредоносным документом во вложении. Отправленный злоумышленниками файл использует уязвимость CVE-2015-2545 в Microsoft Office. Стоит отметить, что эта уязвимость была устранена еще в сентябре 2015 года в исправлении MS15-099.

Рис. 1. Пример письма с вредоносным вложением

Через некоторое время компания Microsoft исправила еще несколько важных уязвимостей — CVE-2017-0261 (исправлена в апреле 2017 года) и CVE-2017-0262 (исправлена в апреле 2017 года). Поскольку все эти уязвимости использовали EPS-объекты, в последних обновлениях Microsoft отключила функцию использования EPS-файлов. Таким образом, пользователям с актуальными обновлениями программного обеспечения вредоносная программа не угрожает.

В связи с возможностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям установить актуальные обновления программного обеспечения Microsoft Office и использовать надежные решения для защиты компьютеров. Стоит отметить, что продукты ESET обнаруживают угрозу как Win32/Exploit.CVE-2015-2545.CA или Win32/Exploit.CVE-2015-2545.CB.

В случае невозможности обновить Microsoft Office пользователям необходимо отключить EPS- объекты одним из следующих способов:

Первый способ:

1. Нужно найти в реестре ключ:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 32-битной Windows);
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 64-битной Windows);
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для групповой политики).

2. В этом ключе создать значение типа DWORD с именем AllowListEnabled (если такого нет).

3. После создания такого значения, нужно присвоить ему 0x1.

4. Далее создать пустое значение типа REG_SZ с именем EPSIMP32.FLT.

Рис. 2. Пример вида реестра в приложении

Второй способ:

Необходимо найти на диске файл EPSIMP32.FLT и переименовать его. Как правило, он расположен тут: C:\Program Files\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 32 битных Windows) или тут: C:\Program Files (x86)\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 64-битных Windows).

При этом манипуляции с реестром или с файлом не влияют на основную работоспособность пакета Microsoft Office. Если файл EPSIMP32.FLT переименован, то при открытии файлов с внедренным EPS-объектом будет показано окно с просьбой установить этот фильтр.

Рис. 3. Пример окна с просьбой установить фильтр

Третий способ:

В консоли, запущенной от имени администратора, выполнить следующие команды:

  • Для 32-битной Windows:

    takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)
     
  • Для 64-битной Windows:

    takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)

Если нужно будет сделать откат изменений, то следует выполнить такую команду от имени администратора:

  • Для 32-битной Windows:

    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT
     
  • Для 64-битной Windows:

    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT

Стоит отметить, эти команды необходимо выполнять только при отсутствии возможности обновить Microsoft Office. В случае применения обновления MS Office EPS-объекты выключаются автоматически.

В связи с высокой активностью данной угрозы специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила безопасности при работе в Интернете, всегда устанавливать актуальные обновления операционной системы и программного обеспечения, а также использовать надежные решения для защиты своих компьютеров.

Новости

НБУ намерен модернизировать защиту электронных банковских документов НБУ намерен модернизировать защиту электронных банковских документов

Документ разработан с целью усовершенствования и модернизации требований к использованию и хранению средств криптографической защиты информации регулятора банками и небанковскими учреждениями в Украине

21.06.2018 | 14:27
читать далее >>>
ГФС включила Приватбанк и МТБ Банк в перечень финансовых гарантов по уплате таможенных платежей ГФС включила Приватбанк и МТБ Банк в перечень финансовых гарантов по уплате таможенных платежей

Указанные банки имеют право предоставлять таможенным органам финансовые гарантии обеспечения уплаты таможенных платежей.

20.06.2018 | 17:40
читать далее >>>
Как получить быстрые кредиты – рассказывает сайт miloan.ua Как получить быстрые кредиты – рассказывает сайт miloan.ua

С проблемой нехватки денег периодически сталкивался любой человек. Ее провоцируют разные ситуации – например, срочная потребность в лечении, необходимость ремонта квартиры, машины, непредвиденная поездка и прочие непредсказуемые обстоятельства. Обычно люди...

20.06.2018 | 09:41
читать далее >>>
В России предложили следить за снятием наличных с карточек иностранных банков В России предложили следить за снятием наличных с карточек иностранных банков

Перечень государств, чьи карты попадают под обязательный контроль, не разглашается.

19.06.2018 | 17:45
читать далее >>>
У 'Ощадбанка' еще есть шанс взыскать долг с владельца 'Укртелекома' У "Ощадбанка" еще есть шанс взыскать долг с владельца "Укртелекома"

Свои исковые требования Ощадбанк обосновывал тем, что “Укртелеком” не выполнил обязательства по договору купли-продажи ценных бумаг

19.06.2018 | 15:51
читать далее >>>
НБУ инициировал 110 судебных исков к поручителям неплатежеспособных банков с 2014 НБУ инициировал 110 судебных исков к поручителям неплатежеспособных банков с 2014

В частности, за последние полгода НБУ подал в суды 35 новых исков об обращении взыскания на имущество

19.06.2018 | 14:20
читать далее >>>
ПриватБанк сменил официальное название ПриватБанк сменил официальное название

Государственный ПриватБанк в связи с изменением типа акционерного общества изменил официальное наименование с Публичное акционерное общество коммерческий банк “ПриватБанк” на Акционерное общество коммерческий банк “ПриватБанк”.

18.06.2018 | 17:13
читать далее >>>
Фонд гарантирования продает офисные помещения Укргазпромбанка Фонд гарантирования продает офисные помещения Укргазпромбанка

На продажу выставлено помещение общей площадью 1771 кв. м, которые располагаются в Киеве по адресу Днепровская набережная, 13. Бывшее отделение банка оборудовано всеми инженерными сетями, часть офисов сегодня находятся в аренде.

18.06.2018 | 15:25
читать далее >>>
Новости JOIN