Petya распространялся через украинскую альтернативу 1С

Киперполиция Украины заявила об обнаружении программы через которую произошло массовое заражение украинских компаний 27 июня.

В частности вирус уже заразил компьютеры кабинета министров Украины, о чём сообщил на своей странице вице-премьер Павел Розенко.

На данный момент официальные власти обвиняют программу M.E.doc украинский аналог запрещенной на Украине российской программы для бухгалтерского учета 1С. Напомним, что на Украине запрещено использовать российские программы в том числе антивирус Касперского, Докторвеб и 1С.

Пресс-секретарь Службы безопасности Украины (СБУ) сделала заявление, что хакерские атаки и распространение вируса-вымогателя, шифрующего данные, могут быть организованы с территории России.

Сообщение размещенное на официальной странице украинской киберполиции в facebook гласит:

На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)

Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".

Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.

Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.

Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:

- створено файл: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
- створення файлу: perfc.bat;
- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”;
- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
- створення файлу: dllhost.dat.

В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі SMB (яка також використовувалась під час атак WannaCry).