Специалисты по информационной безопасности группы компаний БАКОТЕК провели анализ образца вируса DOS/Petya.A, который сегодня стал причиной массовых заражений в Украине и определили, как именно он попадает на компьютеры жертв.
Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска.
По корпоративной сети он распространялся при помощи служебной программы PsExec. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office.
Эксперты отметили, что скорее всего компьютеры были заражены шифровальщиком много месяцев назад, а активировался он только сегодня по команде извне.
Отметим, что команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017-0199 и показала как происходит эксплуатация этого кода.
