ESET назвала источник эпидемии вируса-вымогателя
«По имеющейся последней информации телеметрии, процесс обновления программного обеспечения M. E. Doc (EzVit.exe) запускает цепочку вредных программ», — говорится в отчете.
По имеющимся последним данным системы телеметрии ESET, большинство атак шифратора Petya, отраженных антивирусными продуктами ESET на рабочих станциях, приходится в Украинское государство, Германию и Польшу. «Пиком распространения вирусной атаки является 27 июня, что не приходится на активность скачивания и установки обновления M.E.Doc», — сообщили создатели программы электронной отчетности и документооборота.
Штатская компания Microsoft (США) нашла свидетельства распространения вируса Petya.A. через программу для отчетности и документооборота «M.E.Doc». Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.
«Шифратор распространяется с помощью SMB-эксплойта EternalBlue, который ранее стал предпосылкой массового характера эпидемии WannaCry». В противоположном же случае он довольствуется шифрованием всех файлов компьютера. Последующее распространение внутри локальной сети осуществляется через PsExec.
Создатели M. E. Doc свою вину за распространение вируса опровергают, указывая на то, что в графической схеме на сайте Microsoft описана работа уже зараженного основного модуля программы M. E. Doc, тогда как настоящий способ заражения не указан.
Специалисты компании отмечают, что Petya быстро распространялся благодаря «захвату» компьютерных сетей — вирусe довольно завладеть одним компьютером во внутренней сети для того, чтобы в конце концов быстро распространиться на все соединении ПК. Поэтому это не последнее массовое заражение и такие атаки могут повториться в дальнейшем, подчеркнули в ESET Russia.
На Украине, а кроме этого в Российской Федерации вирус был особенно энергичен.
Для расшифровки нужен необычайный идентификатор определенной установки трояна. В случае Expetr (aka NotPetya) данного идентификатора нет (‘installation key’, который показывает ExPetr — это ничего не значащий набор случайных символов). Другими словами, жертвы вымогателя не имеют возможности вернуть свои данные. Это не несомненно поможет вернуть файлы.