Украинские эксперты определили, как именно вирус-шифровальщик Petya.A распространялся и заражал ПК

archive view archive save

Украинские эксперты определили, как именно вирус-шифровальщик Petya.A распространялся и заражал ПК Специалисты по информационной безопасности группы компаний БАКОТЕК провели анализ образца вируса DOS/Petya.A, который сегодня стал причиной массовых заражений в Украине и определили, как именно он попадает на компьютеры жертв.

Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска.

По корпоративной сети он распространялся при помощи служебной программы PsExec. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office.

Эксперты отметили, что скорее всего компьютеры были заражены шифровальщиком много месяцев назад, а активировался он только сегодня по команде извне.

Отметим, что команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017-0199 и показала как происходит эксплуатация этого кода.


Комментарии в блоге
Новое на форуме