18.08.2017

Новая угроза атакует банки Украины

Новая угроза атакует банки Украины

Компания ESET — лидер в области проактивного обнаружения — сообщает о появлении новой угрозы, которая атакует банки Украины, Беларуси, России и Казахстана. Вредоносная программа распространяется через электронные письма с вредоносным документом во вложении. Отправленный злоумышленниками файл использует уязвимость CVE-2015-2545 в Microsoft Office. Стоит отметить, что эта уязвимость была устранена еще в сентябре 2015 года в исправлении MS15-099.

Рис. 1. Пример письма с вредоносным вложением

Через некоторое время компания Microsoft исправила еще несколько важных уязвимостей — CVE-2017-0261 (исправлена в апреле 2017 года) и CVE-2017-0262 (исправлена в апреле 2017 года). Поскольку все эти уязвимости использовали EPS-объекты, в последних обновлениях Microsoft отключила функцию использования EPS-файлов. Таким образом, пользователям с актуальными обновлениями программного обеспечения вредоносная программа не угрожает.

В связи с возможностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям установить актуальные обновления программного обеспечения Microsoft Office и использовать надежные решения для защиты компьютеров. Стоит отметить, что продукты ESET обнаруживают угрозу как Win32/Exploit.CVE-2015-2545.CA или Win32/Exploit.CVE-2015-2545.CB.

В случае невозможности обновить Microsoft Office пользователям необходимо отключить EPS- объекты одним из следующих способов:

Первый способ:

1. Нужно найти в реестре ключ:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 32-битной Windows);
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 64-битной Windows);
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для групповой политики).

2. В этом ключе создать значение типа DWORD с именем AllowListEnabled (если такого нет).

3. После создания такого значения, нужно присвоить ему 0x1.

4. Далее создать пустое значение типа REG_SZ с именем EPSIMP32.FLT.

Рис. 2. Пример вида реестра в приложении

Второй способ:

Необходимо найти на диске файл EPSIMP32.FLT и переименовать его. Как правило, он расположен тут: C:\Program Files\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 32 битных Windows) или тут: C:\Program Files (x86)\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 64-битных Windows).

При этом манипуляции с реестром или с файлом не влияют на основную работоспособность пакета Microsoft Office. Если файл EPSIMP32.FLT переименован, то при открытии файлов с внедренным EPS-объектом будет показано окно с просьбой установить этот фильтр.

Рис. 3. Пример окна с просьбой установить фильтр

Третий способ:

В консоли, запущенной от имени администратора, выполнить следующие команды:

  • Для 32-битной Windows:

    takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)
     
  • Для 64-битной Windows:

    takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)

Если нужно будет сделать откат изменений, то следует выполнить такую команду от имени администратора:

  • Для 32-битной Windows:

    icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT
     
  • Для 64-битной Windows:

    icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT

Стоит отметить, эти команды необходимо выполнять только при отсутствии возможности обновить Microsoft Office. В случае применения обновления MS Office EPS-объекты выключаются автоматически.

В связи с высокой активностью данной угрозы специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила безопасности при работе в Интернете, всегда устанавливать актуальные обновления операционной системы и программного обеспечения, а также использовать надежные решения для защиты своих компьютеров.

Новости

НБУ инициирует переходный период в части использования форм первичного учета кассовых операций НБУ инициирует переходный период в части использования форм первичного учета кассовых операций

Национальный банк Украины инициирует предоставления возможности субъектам хозяйствования в течение 6 месяцев привести свою деятельность по использованию форм первичного учета кассовых операций с требованиями Положения о ведении кассовых операций в национальной...

29.01.2018 | 14:48
читать далее >>>
PwC подала в суд на НБУ PwC подала в суд на НБУ

Аудитор требует признать незаконным и отменить индивидуальный акт.

26.01.2018 | 13:04
читать далее >>>
НБУ прокомментировал ситуацию с продажей украинской 'дочки' Сбербанка НБУ прокомментировал ситуацию с продажей украинской "дочки" Сбербанка

Национальный банк Украины (НБУ) продолжает изучать пакет документов на согласование приобретения АО “Паритетбанк” (Беларусь) существенного участия в ПАО “Сбербанк” (Киев)

25.01.2018 | 13:16
читать далее >>>
Нацбанк объявит технический перерыв в межбанковских системах Нацбанк объявит технический перерыв в межбанковских системах

Завтра с 7:30 до 9:30 будет технический перерыв в работе семи автоматических банковских систем (речь о программно-технических комплексах систем автоматизации инструментов монетарной политики, ПТК САИМП ).

24.01.2018 | 17:24
читать далее >>>
ФГВФЛ разрешат досрочно погашать долги ФГВФЛ разрешат досрочно погашать долги

Для обеспечения возможности Фонда в дальнейшем эффективно обслуживать долг по заимствованиям, которые были использованы для выплат вкладчикам неплатежеспособных банков, ФГВФЛ предложил предоставить ему возможность возвращать средства Министерству финансов...

24.01.2018 | 15:23
читать далее >>>
ФГВФЛ сообщил, какой ущерб нанесло 'Интербанку' его руководство ФГВФЛ сообщил, какой ущерб нанесло "Интербанку" его руководство

В целом, ориентировочная сумма убытков, нанесенных банку в результате выявленных умышленных действий должностных лиц банка в доведении до банкротства ПАО «КБ «Интербанк», составляет минимум 524,6 млн грн.

23.01.2018 | 17:09
читать далее >>>
НБУ выдал одному банку еще почти миллиард рефинанса НБУ выдал одному банку еще почти миллиард рефинанса

Эта сумма была выделена overnight по ставке 16,5% годовых 1 банку.

23.01.2018 | 16:30
читать далее >>>
НБУ начнет публиковать обсуждение решений по учетной ставке НБУ начнет публиковать обсуждение решений по учетной ставке

В НБУ отметили, что пресс-релизы о решениях по монетарной политике, которые в настоящее время являются основным инструментом коммуникаций на эту тему, отражают консенсусную позицию правления Национального банка.

23.01.2018 | 13:01
читать далее >>>
Новости Svitnews
Новости JOIN