Вирус атакует DDE (Microsoft Dynamic Data Exchange) механизм, который позволяет взаимодействовать разным приложениям в Microsoft Windows, к примеру загружать одним приложениям Office Microsoft другие приложения.
Ссылки, откуда вредоносный код может загрузится на компьютер пользователя, "индикаторы компрометации":
hxxp: //urcho.com/JHGGsdsw6
hxxp: //tatianadecastelbajac.fr/kjhgFG
hxxp: //video.rb-webdev.de/kjhgFG
hxxp: //themclarenfamily.com/kjhgFG
hxxp: //webhotell.enivest.no/cuYT39.enc
hxxp: //gdiscoun.org
Что делать (и не делать) - рекомендации CERT-UA:
Заблокировать доступ к указанным ссылкам.
- Установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office (CVE-2017-11826). (Https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
- Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и т.д., а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов и т.д.).
- Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности поштовогой веб-трафика.
- Не работать под правами администратора.
- Ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий% TEMP%,% APPDATA%.
- Обратиться к рекомендациям CERT-UA По поводу безопасности почтовых сервисов.