Paaiškėjo kompiuterinio viruso „Petya“ plitimo būdas Ukrainoje

ESET kenksmingų programų tyrėjai nustatė, nuo ko prasidėjo globali kenkėjo „Petya“ epidemija. Programišiai atakai panaudojo buhalterinės apskaitos programą „M.E.Doc“, kuri yra gana populiari Ukrainoje, naudojama skirtingose industrijose, įskaitant finansines institucijas.

Kibernetinio saugumo ekspertas Marius Pareščius teigia, kad buhalterinės apskaitos programą „M.E.Doc“ naudoja 400 000 vartotojų elektroninių dokumentų apsikeitimui tarp įmonių ir valstybės institucijų. „Lietuvoje analogas būtų tokios buhalterinės apskaitos programos, kaip „ABBYY eFormFiller“, „Adobe Acrobat Reader“, iSAF, iMAS sistemos produktai“, – komentuoja M. Pareščius.

Programos paleidimo metu prašoma vartotojo autorizacijos, ją praėjus sistema ieško atnaujinimų interneto pagalba naujinimų serveriuose „upd.me-doc.com.ua“ (92.60.184.55) ir gavęs atnaujinimus juos diegia.

„Programišiai sugebėjo sugeneruoti šios programos atnaujinimo failą ir jį išplatino visiems vartotojams. Buhalteriai atsidarę programą savo kompiuteriuose gavo atnaujinimus ir paleido virusą, kuris, naudodamasis „Windows“ saugumo spragomis, pradėjo plisti toliau“, – teigia M. Pareščius.

Užkrėstas „M.E.Doc“ naujinimas leido atakuotojams paleisti žaibo greičiu plintančią masinę išpirkos reikalaujančio kenkėjo kampaniją visame pasaulyje. Pasak ESET, „Petya“ arba „Win32/Diskcoder.C Trojan“ plisdamas naudojasi jau žinomu operacinės sistemos „Windows“ pažeidžiamumu „EternalBlue“, kaip ir jo pirmtakas „WannaCry“. Šis pažeidžiamumas buvo ištaisytas pradėjus plisti  „WannaCry“.

Patyrus „Petya“ ataką reikia išjungti kompiuterį, kad kenkėjas negalėtų šifruoti disko, tačiau vis tiek gali tekti paaukoti kelis failus. ESET saugumo ekspertai įspėja vartotojus nemokėti kenkėjo reikalaujamos išpirkos, nes antradienio vakare programišiai išjungė mokėjimo galimybę, tad vartotojai negalės gauti dešifravimo rakto.

Šiuo metu tikslinama, ar „Petya“ sukėlė kokių padarinių Ukrainos ir kitų šalių elektros energijos pramonei – kol kas neužfiksuota jokių elektros energijos tiekimo sutrikimų, kaip buvo pastebėta su prieš kelis mėnesius aptiktu virusu „Industroyer“.