Серверы M.E.Doc арестованы из-за новой атаки вируса Petya.A

Украинская киберполиция изъяла серверы разработчика бухгалтерской программы M.E.Doc, оказавшейся орудием киберпреступников во время масштабной атаки вирусом Petya.A. Эти меры связаны с новой активностью зловреда, обнаруженной 4 июля. В ведомстве проведут детальный анализ оборудования с целью разработки инструментов для выявления зараженных пользователей, а также нейтрализации вредоносного кода.

Горький M.E.Doc

Во время проведения следственных действий эксперты обнаружили факт взлома сайтов третьей стороной, что также подтверждают разработчики M.E.Doc. Злоумышленникам удалось взломать один из компьютеров компании, и таким образом получить доступ к исходному коду. Это позволило встроить в очередное обновление программы бэкдор. Как отмечают специалисты ESET, модуль удаленного доступа содержался как минимум в трех апдейтах: от 14 апреля, 15 мая и 22 июня. Спустя пять дней после последнего вредоносного обновления началась эпидемия Diskcoder.C (Petya), уничтожающего информацию на диске.

Глава киберполиции Сергей Демидюк недавно заявил, что против создателей M.E.Doc выдвинут обвинения, так как в компании знали об уязвимости задолго до атаки и, ничего не сделав для ее предотвращения, назвали произошедшее «совпадением».

Что делать пострадавшим?

Киберполиция Украины уже опубликовала инструкцию по восстановлению данных при частичном заражении рабочей машины. Также установлено, что бэкдор способен собирать коды ЕГРПОУ компаний, информацию об операционной системе и идентификационные данные пользователей. Эксперты рекомендуют сменить свои пароли и электронные цитфровые подписи, так как эти данные могут быть скомпрометированы. Кроме того, организациям стоит прекратить пользоваться M.E.Doc и отключить компьютеры с установленным ПО.

В ближайшее время ведомство опубликует инструкции по проверке системы на наличие бэкдора .

Источники: Киберполиция Украины, ESET