Новая угроза атакует банки Украины

Рис. 1. Пример письма с вредоносным вложением

Через некоторое время компания Microsoft исправила еще несколько важных уязвимостей — CVE-2017-0261 (исправлена в апреле 2017 года) и CVE-2017-0262 (исправлена в апреле 2017 года). Поскольку все эти уязвимости использовали EPS-объекты, в последних обновлениях Microsoft отключила функцию использования EPS-файлов. Таким образом, пользователям с актуальными обновлениями программного обеспечения вредоносная программа не угрожает.

В связи с возможностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям установить актуальные обновления программного обеспечения Microsoft Office и использовать надежные решения для защиты компьютеров. Стоит отметить, что продукты ESET обнаруживают угрозу как Win32/Exploit.CVE-2015-2545.CA или Win32/Exploit.CVE-2015-2545.CB и обеспечивают защиту от данной вредоносной программы с обновленными базами от 10 августа 2017 года.

В случае невозможности обновить Microsoft Office пользователям необходимо отключить EPS- объекты одним из следующих способов:

Первый способ:

1. Нужно найти в реестре ключ:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 32-битной Windows);
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 64-битной Windows);
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для групповой политики).

2. В этом ключе создать значение типа DWORD с именем AllowListEnabled (если такого нет).

3. После создания такого значения, нужно присвоить ему 0x1.

4. Далее создать пустое значение типа REG_SZ с именем EPSIMP32.FLT.

Рис. 2. Пример вида реестра в приложении

Второй способ:

Необходимо найти на диске файл EPSIMP32.FLT и переименовать его. Как правило, он расположен тут: C:\Program Files\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 32 битных Windows) или тут: C:\Program Files (x86)\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 64-битных Windows).

При этом манипуляции с реестром или с файлом не влияют на основную работоспособность пакета Microsoft Office. Если файл EPSIMP32.FLT переименован, то при открытии файлов с внедренным EPS-объектом будет показано окно с просьбой установить этот фильтр.

Рис. 3. Пример окна с просьбой установить фильтр

Третий способ:

В консоли, запущенной от имени администратора, выполнить следующие команды:

• Для 32-битной Windows:
  takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
  icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
  icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)
• Для 64-битной Windows:
  takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
  icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
  icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)

Если нужно будет сделать откат изменений, то следует выполнить такую команду от имени администратора:

• Для 32-битной Windows:
  icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT
• Для 64-битной Windows:
  icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT

Стоит отметить, эти команды необходимо выполнять только при отсутствии возможности обновить Microsoft Office. В случае применения обновления MS Office EPS-объекты выключаются автоматически.

В связи с высокой активностью данной угрозы специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила безопасности при работе в Интернете, всегда устанавливать актуальные обновления операционной системы и программного обеспечения, а также использовать надежные решения для защиты своих компьютеров.