Департамент контрразведывательной защиты интересов государства в сфере информационной безопасности СБУ сообщил, что основным путем распространения вируса Petya.A на компьютерах всех предприятий, учреждений и организаций является программное обеспечение M.E.Doc. Изначально заражается компьютер с установленным программным обеспечением. Заражение происходит через установление обновления № 189 M.E.Doc на компьютер пользователя, из-за чего в операционной системе закрепляется «бекдор». Далее отключается антивирусное или комплексное программное обеспечение и с помощью утилита Mimikatz собираются логины и пароли учетных записей пользователей компьютера.
После этого расширяются привилегии пользователя в операционной системе и сканируется локальная сеть через порты 139, 445 и директории, имеющие общий сетевой локальный доступ к компьютерам. Далее вирус выгружает файл perfc.dat на другие компьютеры с помощью протокола SMB и запускает его исполнение, что приводит к шифрованию mbr-записи жесткого диска или файлов на нем.
Характерной чертой также является удаление вирусом записей о себе с лог-файлов операционной системы.
Письмо от 19 июля 2017 года № 30/4/2-9879 Департамент контрразведывательной защиты интересов государства в сфере информационной безопасности СБУ направил в ответ на адвокатский запрос Ростислава Кравца.
Напомним, проникновение вируса через M.E.Doc подтвердила киберполиция.
