Специалисты по информационной безопасности группы компаний БАКОТЕК провели анализ образца вируса DOS/Petya.A, который сегодня стал причиной массовых заражений в Украине и других странах.

Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199), зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска. При этом по корпоративной сети он распространялся при помощи служебной программы PsExec (https://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx).

Команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017-0199 (https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html) и показала как происходит эксплуатация этого кода (https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199_useda.html). Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office.

Вполне вероятно, что компьютеры были заражены шифровальщиком много месяцев назад, а активировался он только сегодня по команде извне.