ESET: источник эпидемии Petya.C - обновление программы M.E.Doc

28 июнь, 2017 - 20:55

ESET: источник эпидемии Petya.C - обновление программы M.E.Doc

Компания ESET официально сообщила, что ее специалисты установили источник эпидемии трояна-шифратора Win32/Diskcoder.C Trojan (Petya.С).

Как отмечается, злоумышленники скомпрометировали бухгалтерское программное обеспечение M.E.Doc. Некоторые корпоративные пользователи установили троянизированное обновление этого ПО, положив начало атаке, охватившей страны Европы, Азии и Америки.

По данным системы телеметрии ESET, большинство срабатываний антивирусных продуктов ESET NOD32 пришлось на Украину, Италию и Израиль.

Стоит отметить, что компания M.E.Doc опровергает информацию о том, что одной из причин указывается установка обновлений ее программы.

ESET заявил, что вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan. Если Win32/Diskcoder.C Trojan успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.