Киберполиция в среду, 5 июля, опубликовала отчет об атаке вируса Petya (он же Diskcoder.C, ExPetr, PetrWrap, NotPetya).
В ходе расследования, к которому привлекли международные компании по кибербезопасности, было установлено, что заражение систем произошло с помощью популярного программного обеспечения бухгалтерского учета M.E.Doc, которое является практически монополистом в этой области в Украине.
В один из модулей этой программы был внедрен скрытый бэкдор. По версии следствия, зараженный модуль присутствовал в обновлении M.E.Doc еще от 15 мая. По своему функционалу он способен собирать коды ЕГРПОУ компании и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационных данных пользователей (логины и пароли).
Зная код ЕГРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации.
22 июня через последние обновления программы M.E.Doc был распространен модифицированный вирус Petya, который нанес основной ущерб компаниям.
"Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предыдущей преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших", - заявляют в полиции.
С целью прекращения распространения Diskcoder.C (Petya), полиция провела обыски в компании ООО "Интеллект-Сервис", разработавшей M.E.Doc. Было изъято оборудование, которое направлено на анализ, чтобы выявить зараженных пользователей и нейтрализовать вредоносный код.
На время следствия Департамент киберполиции советует прекратить использование программы M.E.Doc и отключить компьютеры, на которых оно установлено, от сети. Также нужно изменить свои пароли и электронные цифровые подписи в связи с тем, что эти данные могут быть скомпрометированы.