Нова загроза атакує банки України

Рис. 1. Приклад листа зі шкідливим вкладенням

Згодом компанія Microsoft виправила ще кілька важливих уразливостей – CVE-2017-0261 (виправлена в квітні 2017 року) та CVE-2017-0262 (виправлена в квітні 2017 року). Оскільки всі ці уразливості використовували EPS-об'єкти, в останніх оновленнях Microsoft вимкнула функцію використання EPS-файлів. Таким чином, користувачам з актуальними оновленнями програмного забезпечення шкідлива програма не загрожує.

У зв’язку з можливістю подальшого поширення загрози спеціалісти ESET рекомендують користувачам встановити актуальні оновлення програмного забезпечення Microsoft Office та використовувати надійні рішення для захисту комп'ютерів. Варто зазначити, що продукти ESET виявляють загрозу як Win32/Exploit.CVE-2015-2545.CA або Win32/Exploit.CVE-2015-2545.CB та забезпечують захист від даної шкідливої програми з оновленими базами від 10 серпня 2017 року.

У разі неможливості оновити Microsoft Office користувачам необхідно відключити EPS-об’єкти одним з нижченаведених способів:

Перший спосіб:

1. Потрібно знайти в реєстрі ключ:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 32-бітної Windows);
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 64-бітної Windows);
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для групової політики).

2. У цьому ключі створити значення типу DWORD з ім'ям AllowListEnabled (якщо такого немає).

3. Після створення такого значення потрібно присвоїти йому 0x1.

4. Далі необхідно створити пусте значення типу REG_SZ з іменем EPSIMP32.FLT.

Рис. 2. Приклад вигляду реєстру в додатку

Другий спосіб:

Необхідно знайти на диску файл EPSIMP32.FLT і перейменувати його. Зазвичай, він розташований тут: C:\Program Files\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 32-бітних Windows) або C:\Program Files (x86)\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 64-бітних Windows).

При цьому маніпуляції з реєстром або з файлом не впливають на основну роботу пакета Microsoft Office. Якщо файл EPSIMP32.FLT перейменований, то під час відкриття файлів з EPS-об’єктом буде відображатися вікно з проханням інсталювати цей фільтр.

Рис. 3. Приклад вікна з проханням інсталювати фільтр

Третій спосіб:

У консолі, запущеної від імені адміністратора, виконати такі команди:

• Для 32-бітної Windows:
  takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
  icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
  icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)
• Для 64-бітної Windows:
  takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
  icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
  icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)

Якщо потрібно буде зробити відкат змін, то слід виконати таку команду від імені адміністратора:

• Для 32-бітної Windows:
  icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT
• Для 64-бітної Windows:
  icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT

Варто зазначити, ці команди необхідно виконувати тільки за умови відсутності можливості оновити Microsoft Office. У разі застосування оновлення MS Office EPS-об'єкти вимикаються автоматично.

У зв’язку з високою активністю даної загрози спеціалісти ESET настійно рекомендують користувачам дотримуватись основних правил безпеки під час роботи в Інтернеті, завжди встановлювати актуальні оновлення операційної системи та програмного забезпечення, а також використовувати надійні рішення для захисту своїх комп'ютерів.