Отчет об атаке вируса Petya на Украину 05.07.2017: Вторую волну удалось остановить

803

cropКиберполиция в среду, 5 июля, опубликовала отчет об атаке вируса Petya (он же Diskcoder.C, ExPetr, PetrWrap, NotPetya).

В ходе расследования, к которому привлекли международные компании по кибербезопасности, было установлено, что заражение систем произошло с помощью популярного программного обеспечения бухгалтерского учета M.E.Doc, которое является практически монополистом в этой области в Украине.

В один из модулей этой программы был внедрен скрытый бэкдор. По версии следствия, зараженный модуль присутствовал в обновлении M.E.Doc еще от 15 мая. По своему функционалу он способен собирать коды ЕГРПОУ компании и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационных данных пользователей (логины и пароли).

Зная код ЕГРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации.

22 июня через последние обновления программы M.E.Doc был распространен модифицированный вирус Petya, который нанес основной ущерб компаниям.

"Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предыдущей преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших", - заявляют в полиции.

Сегодня, министр МВД Арсен Аваков сообщил, что правоохранителям удалось предотвратить очередную атаку.

"Сегодня специальные агенты департамента киберполиции вместе со специалистами СБУ и городской прокуратуры прекратили второй этап кибератаки Petya. Пик атаки планировался на 16:00. Стартовала атака в 13:40. До 15:00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е.Doc. Атака была остановлена", - написал Аваков.

Скриншот 05-07-2017 131515

С целью прекращения распространения Diskcoder.C (Petya), полиция провела обыски в компании ООО "Интеллект-Сервис", разработавшей M.E.Doc. Было изъято оборудование, которое направлено на анализ, чтобы выявить зараженных пользователей и нейтрализовать вредоносный код.

На время следствия Департамент киберполиции советует прекратить использование программы M.E.Doc и отключить компьютеры, на которых оно установлено, от сети. Также нужно изменить свои пароли и электронные цифровые подписи в связи с тем, что эти данные могут быть скомпрометированы.