Киберполиция предварительно установила, что вирус-вымогатель Petya был распространен через уязвимость в украинской программе «М.Е.Док». Об этом говорится в сообщении, опубликованном полицией в твиттере.
Кіберполіцією попередньо установлено, що перші вірусні атаки на українські компанії могли виникнути через вразливості ПЗ M.E.doc. pic.twitter.com/MXV7ODtaoM
— Cyberpolice Ukraine (@CyberpoliceUA) June 27, 2017
В полиции посоветовали временно не применять обновления, которые предлагает программное обеспечение «М.Е.Док» при запуске».
Президент холдинга Internet Invest Александр Ольшанский также в комментарии InfoResist сообщил о том, что его компания подверглась атаке именно через «М.Е.Док».
«Пока что версия такая — это вирус-шифровальщик, он для массового распространения использует старые уязвимости, которые закрыли мы пару недель назад. Если конечно вы не обновились, то вам может быть плохо. Этот вирус может проходить внутри локальной системы. Но, в принципе, обновление в большей части сделано и всё равно был какой-то источник первичного заражения. На сегодняшний день, версия такая, что источником первичного заражения была программа обмена данными с налоговой инспекцией, которая называется «М.Е.Док». Соответственно это программирование стояло на самых защищённых серверах, рядом с 1С. Внутри сети, соответственно, после заражения дальше уже она проникала во внутрь Сети. Но, вот у этого «М.Е.Док», пока что сложная история. Понятно что «М.Е.Док» морозится», — сказал Ольшанский.
Он подчеркнул, что способ распространения вируса через «М.Е.Док» это не подтвержденная версия, но есть факты, которые говорят за эту версию.
По мнению Ольшанского, еще рано говорит о российском следе в вирусе.
«Я не знаю, на каких основаниях они делают такие заявления. Я думаю, что сейчас вообще никто не может ничего сказать в принципе, потому что ещё сам вирус не расколупан. Ещё даже механизм заражения точно не ясен. Есть только варианты. Скорее всего механизмов заражения было несколько, от классических: через электронную почту, когда тебе присылают какой-то файл и ты сам его клацаешь, но в принципе уже люди научились просто так не клацать. Я думаю, что массовость в Украине связана с каким-то таким механизмом, говорят что через этот «М.Е.Док». Люди некоторые сомневаются, но у меня есть основания этому верить, потому что у нас тоже было заражение, мы все говорили, мы исследовали что там и как происходило. Дело в том, что непонятно на сервере где произошло заражение никаких программ не функционировало», — говорит эксперт.
Ольшанский отметил, что устранение проблем займет немного времени, если созданы резервные копии данных.
«По времени займёт не очень много, если у вас есть резервные копии. Если резервных копий нет, то тогда совсем всё плохо. Кстати, сегодня было сообщение в Фейсбуке, люди которые платили деньги ключ для расшифровки не получили. То есть получилось кидалово», — добавил эксперт.
Президент холдинга Internet Invest отмечает, что высока угроза появления более мощного и злого вируса.
«Опасность в другом. Опасность в том, что пока не будет перекрыт сам вот этот канал, механизм заражения, следующий вирус может оказаться гораздо более злобным. Вообще неизвестно, что по этому каналу к нам приходило до этого. Это же он не сегодня заразил, а заразил когда-то. А сегодня у него просто сработал таймер. И совсем непонятно, что туда успели напихать», — говорит Ольшанский.
По его мнению, пока канал распространения остается загадкой, он убежден, что программисты найдут канал распространения.
«Да, сейчас найдут. Сейчас всё это расколупалось, но вот именно канал массового заражения в Украине для меня остаётся загадкой. Это какая-то совершенно гениальная инженерия, но я не понимаю какая. За «М.Е.Док» говорит какая история? То что повально заражены сервера, не виндовские машины, под виндой, а сервера, на которых находились 1С и прочие бухгалтерские программы», — добавил он.
Ольшанский подчеркнул, что для того, чтобы говорить, чей след в вирусе, нужно сначала выяснить механизм распространения.
В то же время на сайте программы опубликовано следующее сообщение:
«На наши сервера осуществляется вирусная атака. Просим прощения за временные неудобства!»
«M.E.Doc» — компьютерная программа для отчетности и документооборота.