Киберполиция разоблачила хакера, который заразил вирусом тысячи компьютеров в 50 странах

Хакера, который инфицировал почти две тысячи устройств вредоносным вирусом в более чем полусотне стран мира, разоблачили работники Карпатского управления киберполиции. Об этом сообщили в пресс-службе Нацполиции.

Задержанным оказался 42-летний житель Львовской области, который установил на собственный компьютер программный центр управления троянской программы и модифицировал его. После этого подозреваемый распространял клиентские версии вируса DarkComet, предназначенные для удаленного доступа и управления чужими компьютерами.

"Установлено, что вирус оказывает полный удаленный доступ к подконтрольным компьютерам. В частности — возможность загружать и отгружать файлы, управлять автозагрузкой и службами, удаленно управлять реестром, устанавливать и удалять программы, делать скриншоты с удаленного экрана, перехватывать звук с микрофона и видео со встроенных или внешних камер", — говорится в сообщении полиции.

Кроме того, DarkComet имеет кейлоггер (мониторинг нажатых клавиш), монитор буфера обмена, целый набор утилит для работы с сетью. Также вирус предоставлял злоумышленнику возможность удаленно выключать и перезагружать пораженный компьютер. Программа использует бэк-коннект, то есть сама инициирует соединение с управляющей машиной.

Полицейские провели обыск по месту жительства подозреваемого, изъяли ноутбук, зараженный вредоносным ПО, и стационарный компьютер. На компьютере хакера специалисты из киберполиции обнаружили: админ-панель доступа к зараженным компьютерам, его установочные файлы, снимки экрана из подконтрольных компьютеров.

Изъятую технику направили на проведение компьютерно-технической экспертизы.

По данному факту начато уголовное производство по ч. 2 ст. 361 (Несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи) и ч. 1 ст. 361-1 (Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт) УК Украины.

Работники киберполиции объяснили, как проверить свой компьютер на наличие указанного вируса, а также дали общие рекомендации при использовании компьютеров.

Как проверить операционную систему на наличие вируса DarkComet:

• Откройте командную строку. Зажмите клавишу "Windows" на клавиатуре, затем — "R". Запустится окно "выполнить", в котором нужно набрать "cmd" и нажать "Enter" или "Ok".

• В открытой командной строке введите команду "netstat-nao" и нажмите "Enter". Появится список соединений, среди которых нужно найти соединение с хостом 193.53.83.233 и портом 1604 или 81.

В случае выявления соединения с указанным IР адресом, рекомендуется связаться с правоохранителями через форму обратной связи.

Другие правила информационной безопасности при использовании компьютеров:

• не работайте и не запускайте программы под учетной записью администратора системы;
• откажитесь от ПО или его обновления, если это требует добавления в "список исключения" систем защиты компьютера;
• обновляйте антивирусное ПО и запускайте полное сканирование системы и внешних носителей информации, внимательно относитесь к предупреждениям антивирусного программного обеспечения и систематически его обновляйте;
• в случае получения тревоги от системы защиты компьютера (антивируса, фаервола и т.п.) не препятствуйте действиям по умолчанию антивируса (блокировка, удаление, карантин). Помните: опровергнуть опасность, о которой сообщил антивирус, может только квалифицированный специалист по информационной безопасности;
• отключите автоматические обновления и в ручном режиме обновляйте ПО, дополнительно проверяйте его на авторитетных ресурсах, предназначенных для анализа подозрительных файлов, например: https://www.virustotal.com/, https://malwr.com/, https://www.reverse.it/.

Напомним, что в марте оперативники киберполиции разоблачили киевлянина, входившего в международную хакерскую группировку "Cobalt". Члены этой группировки причастны к массовым атакам на различные мировые банки.

Источник