42-річний чоловік на власному комп’ютері встановив програмний центр управління троянської програми та модифікував його

Працівники кіберполіції викрили мешканця Львівщини, який модифікував одне із шкідливих програмних забезпечень та інфікував ним майже дві тисячі пристроїв з понад півсотні країн світу. Про це повідомляє Департамент кіберполіції Національної поліції України.

42-річний чоловік на власному комп’ютері встановив програмний центр управління троянської програми та модифікував його. В подальшому, зловмисник розповсюджував клієнтські версії вірусу.

Спеціалісти з кіберполіції провели аналіз шкідливого програмного забезпечення. Встановлено, що вірус надає повний віддалений доступ до підконтрольних комп’ютерів. Зокрема, можливість завантажувати та відвантажувати файли, керувати автозавантаженням і службами, віддалено управляти реєстром, встановлювати і видаляти програми, робити скріншоти з віддаленого екрану, перехоплювати звук з мікрофона і відео з вбудованих або зовнішніх камер.

Крім того, вірус DarkComet має кейлоггер (моніторинг натиснутих клавіш), монітор буфера обміну, цілий набір утиліт для роботи з мережею, а також надавав можливість зловмиснику віддалено вимикати і перезавантажувати уражений комп’ютер. Програма використовує бек-коннект, тобто сама ініціює з’єднання з керуючою машиною.

За місцем проживання зловмисника поліцейські провели обшук. Під час обшуку було вилучено ноутбук, заражений шкідливим програмним забезпеченням, та стаціонарний комп’ютер. Під час попереднього огляду техніки, на комп’ютері хакера спеціалісти з кіберполіції виявлили адмін-панель доступу до заражених комп’ютерів шкідливим програмним забезпеченням, його інсталяційні файли, знімки екрану з підконтрольних комп’ютерів. Вилучену техніку направлено на проведення комп’ютерно-технічної експертизи.

Слідчі поліції Львівщини порушили кримінальне провадження за ч. 2 ст. 361 (Несанкціоноване втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку) та ч. 1 ст. 361-1 (Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут) КК України.

Фахівці рекомендують українцим перевірити операційну систему на наявність вказаного вірусу.

Для цього необхідно відкрити командний рядок: затиснути клавішу «Windows» на клавіатурі, потім клавішу «R». Запуститься вікно «виконати», в якому треба набрати «cmd» і натиснути ENTER  або кнопку OK.

Далі, у відкритому командному рядку необхідно ввести команду «netstat -nao» і натиснути ENTER. У результаті з’явиться список з’єднань, серед яких потрібно знайти з’єднання з хостом 193.53.83.233 та портом 1604 або 81.

Якщо буде виялено з’єднання із зазначеною ІР адресою, рекомендується зв’язатись із кіберполіцією через форму зворотнього звязку.

При використанні комп’ютерів українцям радять бути обачливими та виконувати найпростіші правила інформаційної безпеки:

– не працювати та не запускати програми під обліковим записом адміністратора системи;

– відмовитися від програмного забезпечення або його оновлення, що потребує додавання у «список виключення» систем захисту комп’ютера;

– оновити антивірусне програмне забезпечення та запустити повне сканування системи та зовнішніх носіїв інформації, уважно ставитися до попереджень антивірусного програмного забезпечення та систематично його оновлювати;

– у разі отримання тривоги від системи захисту комп’ютера (антивіруса, фаєрволу тощо) не перешкоджати діям за замовчуванням антивірусу (блокування, видалення, карантин, тощо);

– відключити автоматичні оновлення та в ручному режимі оновлювати програмне забезпечення та додатково перевіряти його на авторитетних ресурсах, призначених для аналізу підозрілих файлів, наприклад:

https://www.virustotal.com/

https://malwr.com/

https://www.reverse.it/