Petya’s aftermath

Як стверджується Департаментом Кіберполіції Національної поліції України на своїй Facebook-сторінці, Лабораторією Касперського та Microsoft, одним з джерел розповсюдження рансомварі було оновлення M.E.Doc (я і сам учора бачив не поодиинокі коменти, де стверджувалось, що все почалося з компів бухгалтерії).

Натомість M.E.Doc на своїй Facebook-сторінці стверджує, що жодних вірусів у їх оновленнях не було, бо вони усі файли оновлень сканять усіма можливими вірусами, та і оновлення 27 червня ніякого не було.

Натомість кіберполіція наводить розмір файлу та його хеш, а у оновленнях M.E.Doc на сторінці з красномовною назвою obnovlenie.php такого файлу немає.

Тобто бреше або M.E.Doc, або кіберполіція.

Тут можна сказати, що для чистоти екперименту кіберполіція могла б викласти цей самий файл з хешами, але давайте подивимося на M.E.Doc.

Оновлення медок відбувається не по захищеному каналу HTTPS, а по звичайному HTTP, що робить можливим втручання за схемою «людина посередині», внаслідок чого ваш пакет оновлень перетворюється на пакован малварі.

Добре, My Electronic Documents, ви чомусь продовжуєте жити у вразливому світі HTTP та , але ваше подєліє (так, подєліє, бо лише подєліє шифрує порожні форми XML та ставить на 64-бітну систему комплект 32-бітних *.exe та *.dll) м̶о̶г̶л̶о̶ ̶б̶ ̶з̶в̶і̶р̶я̶т̶и̶ ̶х̶е̶ш̶ ̶ф̶а̶й̶л̶у̶,̶ ̶я̶к̶и̶й̶ ̶з̶а̶в̶а̶н̶т̶а̶ж̶е̶н̶о̶ ̶і̶з̶ ̶с̶е̶р̶в̶е̶р̶у̶,̶ ̶з̶ ̶е̶т̶а̶л̶о̶н̶н̶и̶м̶ ̶п̶е̶р̶е̶л̶і̶к̶о̶м̶ (upd.: як підказав Vanya Yani, не могло, оскільки перелік, завантажений по HTTP, теж було б скомпрометовано), тим більше, що ваші файли навіть не підписано (оновлення від 13.06.17, SHA-1 f844cb1298e137510723572d8aafdaef4941540d):

“Unknown”? Це такий “M.E.Doc”?

Судячи з того, що клієнтські застосунки мовчки встановили файл оновлення, нічого такого, скоріше за усе, не відбувалося.

І поки тривають роздуми, чи зробить Україна бодай якісь висновки з того, що сталося, хочеться спитати — чи зробить висновки з цього одна компания-виробник бухгалтерського софту, чи непідписані оновлення і далі будуть роздаватися по незахищеному протоколу?