24 жовтня було зафіксовано атаки на деякі українські підприємства з використанням вірусу-шифрувальника. Ком’ютери користувачів, з операційною системою Windows, за однією із версій були уражені внаслідок відкриття файлів електронних документів з розширенням .doc та .rtf, що надсилались каналами електронної пошти від невстановлених відправників.
Після цього виконувався вбудовуваний в документи шкідливий алгоритм, за результатами якого завантажувався та виконувався файл – тіло вірусу з назвою “heropad64.exe”.
Після відпрацювання вказаного вірусу диск комп’ютера зашифровано, на екрані зображувалось повідомлення із вимогою про викуп за розшифровку файлів та посиланням на сайт в мережі ТОR, де можливо отримати реквізити для переводу коштів в розмірі 0,05 ВТС.
Зазначимо, що вказана атака була не цілеспрямованою. Від її наслідків постраждали не лише українські суб’єкти господарювання.
За попереднім аналізом вказану атаку також було здійснено з використанням бот-мережі Necurs.
Для атаки хакери використовували вразливість DDE в Microsoft Office (CVE-2017-11826).