Кіберполіція в середу, 5 липня, опублікувала звіт про атаку вірусу Petya (він також Diskcoder.C, ExPetr, PetrWrap, NotPetya).
Під час розслідування, до якого залучили міжнародні компанії з кібербезпеки, було встановлено, що зараження систем сталося з допомогою популярного програмного забезпечення бухгалтерського обліку M.E.Doc, яке є практично монополістом у цій галузі в Україні.
В один із модулів цієї програми було вкладено прихований бекдор. За версією слідства, заражений модуль був присутній в оновленні M.E.Doc ще від 15 травня. За своїм функціоналом він здатний збирати коди ЄДРПОУ компаній і відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів (логіни та паролі).
Знаючи код ЄДРПОУ, можна проводити цілеспрямовану атаку проти конкретної компанії або організації.
22 червня через останні оновлення програми M.E.Doc було поширено модифікований вірус Petya, який завдав основного збитку компаніям.
"Видалення та шифрування файлів операційних систем було скоєно з метою видалення слідів попередньої злочинної діяльності (бекдора) і відволікання уваги шляхом імітації вимагання грошових коштів від потерпілих", - заявляють у поліції.
З метою припинення поширення Diskcoder.C (Petya), поліція провела обшуки в компанії ТОВ "Інтелект-Сервіс", яка розробила M.E.Doc. Було вилучено обладнання, яке направлено на аналіз, щоб виявити заражених користувачів і нейтралізувати шкідливий код.
На час слідства Департамент кіберполіції радить припинити використання програми M.E.Doc і відключити комп'ютери, на яких вона встановлена, від мережі. Також потрібно змінити свої паролі й електронні цифрові підписи, оскільки ці дані можуть бути скомпрометовані.