ESET Lietuva pagalbos tarnybos specialistai įspėja - spalio 15 dieną Lietuvos įmonių ir Valstybės institucijų tarpe ėmė plisti pavojingas, į pašto serverius nukreiptas užkratas (trojanas ir botnetas) „GenScript.KLH trojan“, kuris plinta kaip prisegtas dokumentas, siunčiant elektroninius laiškus. Kenkėjiška programa taip pat nukreipta ir į pašto serveryje esančius saugomus laiškus, kurie užkrečiami „VBA/TrojanDownloader.Agent“ skriptu ir išsiunčiami atsitiktiniams adresatams.

2020 metų, spalio 15 d. išplitusio trojano „GenScript.KLH trojan“ paveiktas dokumentas, kuris yra užkrėstas „VBA“ skriptu „VBA/TrojanDownloader.Agent“, yra aptinkamas ir identifikuojamas kaip „GenScript.KLH“ trojanas. Šios kenkėjiškos programos platinimo metodas yra „SPAM“ tipo kompanija per užkrėstus pašto serverius. Kenkėjo veikimo principas yra, kuomet atidarius užkrėstą *.doc failą, aktyvuojama užkoduota „Powershell“ komanda ir atsiunčiamas vykdomasis *.exe failas.

Šis kenkėjiškas virusas atakuoja transporto agentą (MTA) ir laiškų atidavimo vartotojams dalį (IMAP). Kenkėjas plinta tiek „Microsoft Exchange Server“, tiek „Linux“ pašto serveriuose, kuriuose nėra tinkamos pašto apsaugos ir nėra aktyvuotas el. pašto antraštės (angl. header) tikrinimas. Remiantis ESET telemetriniais duomenimis, gerokai mažiau paveikti el. pašto serveriai, esantys „Office365“ ir „GSuite“ aplinkose. Virusas atakuoja tiek transporto agentą (MS Exchange atveju - EdgeTransport.exe), tiek laiškų atidavimo vartotojams dalį (IMAP).

Šios kenkėjiškos programos tikslas yra konfidencialios informacijos ir prisijungimo duomenų vagystės, įtraukimas į botnet tinklus, papildomų kenkėjų parsisiuntimas bei galiausiai – failų užšifravimas. Pastebima, kad dažniausiai šio kenkėjo trojano atakuojami yra Lietuvos įmonių ir valstybinių įstaigų pašto serveriai, el. pašto serverių paslaugų tiekėjai ir asmenys, neturintys jokios arba turintys nepakankamą antivirusinę apsaugą ir netikrinantys siuntėjo antraštės (angl. header).

Taip, remiantis ESET duomenimis apie „GenScript.KLH trojan“, klientai turintys ESET Mail Security ir įdiegę visus reikalingus programinės įrangos atnaujinimus, sėkmingai išvengė šios kenkėjiškos programos atakos. ESET klientams rekomenduojame į pašto serverį įdiegti naujausią ESET Mail Security (Skirtą Exchange, Linux, Domino, Kerio). Pašto serveryje aktyvuoti el. laiško antraščių patikrą. Darbo vietose naudoti naujausią ESET Endpoint Security ( su antispam funkcija ir ugniasiene - angl. firewall). Per ESET Security Management Center konsolę nustatyti klientinę užduotį periodiniam darbo vietų skenavimui.

ESET Dynamic Mail Protection suteikia papildomą apsaugos sluoksnį ir sustiprina pašto dėžučių apsaugą. Pavojingas failas yra analizuojamas virtualioje smėlio dėžės aplinkoje imituojant įprasto kompiuterio veikimą. Tai padeda atskleisti paslėptus kenkėjiškus virusus ir užkirsti kelią jų patekimui į įmonės tinklą. Šis sprendimas geba rasti tinkamus sprendimo būdus ir užkirsti kelią tokių grėsmių tolimesniam plitimui įmonės tinkle.

1. Atlikti visų kompiuterių, kuriose buvo atidaryti el. laiškai su kenksmingu kodu, patikrą. Patikrinti kompiuterius su naujausia ESET antivirusine programa ar ESET „Online scanner“ atliekant įrenginio nuskaitymą nuo kenkėjiškų programų. Atsisiųskite nemokamai:
https://www.eset.com/lt/namams/online-scanner/

2. Įdiegti operacinės sistemos ir naudojamų programų naujausius pataisymus. Visuomet naudokite naujausias programinės įrangos versijas.

3. Pakeisti kompiuteryje naudojamų paskyrų (el. pašto, soc. tinklų ir kt.) slaptažodžius.