Apie tai rašoma ESET kenksmingų programų tyrėjų pranešime spaudai.

Kibernetinio saugumo ekspertas Marius Pareščius teigia, kad buhalterinės apskaitos programą „M.E.Doc“ naudoja 400 000 vartotojų elektroninių dokumentų apsikeitimui tarp įmonių ir valstybės institucijų.

„Lietuvoje analogas būtų tokios buhalterinės apskaitos programos, kaip „ABBYY eFormFiller“, „Adobe Acrobat Reader“, iSAF, iMAS sistemos produktai“, – cituojamas M. Pareščius.

Programos paleidimo metu prašoma vartotojo autorizacijos, ją praėjus sistema ieško atnaujinimų interneto naujinimų serveriuose „upd.me-doc.com.ua“ (92.60.184.55) ir gavęs atnaujinimus juos diegia.

„Programišiai sugebėjo sugeneruoti šios programos atnaujinimo failą ir jį išplatino visiems vartotojams. Buhalteriai atsidarę programą savo kompiuteriuose gavo atnaujinimus ir paleido virusą, kuris, naudodamasis „Windows“ saugumo spragomis, pradėjo plisti toliau“, – teigia M. Pareščius.

Užkrėstas „M.E.Doc“ naujinimas leido pradėti masinę išpirkos reikalaujančio kenkėjo kampaniją.

„Petya“ arba „Win32/Diskcoder.C Trojan“ plisdamas naudojasi jau žinomu operacinės sistemos „Windows“ pažeidžiamumu „EternalBlue“, kaip ir jo pirmtakas „WannaCry“. Šis pažeidžiamumas buvo ištaisytas pradėjus plisti „WannaCry“.

Patyrus „Petya“ ataką galima išjungti kompiuterį, kad kenkėjas negalėtų šifruoti disko, tačiau vis tiek gali tekti paaukoti kelis failus.

Saugumo ekspertai įspėja vartotojus nemokėti kenkėjo reikalaujamos išpirkos, nes antradienio vakare programišiai išjungė mokėjimo galimybę, tad vartotojai negalės gauti dešifravimo rakto.

Šiuo metu tikslinama, ar „Petya“ sukėlė kokių padarinių Ukrainos ir kitų šalių elektros energijos pramonei – kol kas neužfiksuota jokių elektros energijos tiekimo sutrikimų, kaip buvo pastebėta su prieš kelis mėnesius aptiktu virusu „Industroyer“.

„Kaspersky Lab“ analitikai paskelbė, kad jų preliminarios išvados rodo, kad siautė ne „Petya“ viruso variantas, apie kurį pranešta viešai, o naujas, anksčiau nepastebėtas išpirkos reikalaujantis virusas.

"Nors jis turi keletą į „Petya“ panašių savybių, jo funkcionalumas visiškai kitoks. Mes jį pavadinome „ExPetr", - rašo bendrovė pranešime.

Visoms įmonėms patariama atnaujinti „Windows“ programinę įrangą: „Windows XP“ ir „Windows 7“ naudotojai gali apsisaugoti įdiegdami MS17-010 saugos pataisą.

Taip pat patariama visoms organizacijoms pasidaryti atsargines duomenų kopijas. Tinkama ir laiku padaryta duomenų kopija gali būti naudojama pradiniams failams atkurti.