Petya-kiristyshaittaohjelman tuoreesta variantista on Viestintäviraston mukaan tullut viimeisen vuorokauden aikana useita tartuntoja yrityksistä, joilla on toimintoja Ukrainassa.
Viestintävirasto kertoo, että julkisuudessa esiintyneiden tietojen perusteella haittaohjelman alkuperäinen tartunta on todennäköisesti tapahtunut M.E.Doc -nimisen kirjanpito-ohjelmiston päivityksen kautta. M.E.Doc on yleisesti Ukrainassa käytössä oleva verojen maksun yhteydessä käytettävä ohjelmisto.
Kirjanpito-ohjelmiston päivityspalvelin on murrettu ja määritelty tarjoamaan haittaohjelmaa kirjanpito-ohjelmiston päivityksenä.
Kyberturvallisuuskeskus on saanut ilmoituksia myös Suomessa tapahtuneista tartunnoista.
Alkuperäisen tartunnan jälkeen kiristyshaittaohjelma leviää Viestintäviraston mukaan sisäverkossa usealla eri tavalla, joten pelkkä koneiden päivitys ei suojaa kokonaan tartunnoilta.
Virasto varoittaa, että haittaohjelma pystyy leviämään erittäin aggressiivisesti myös päivitettyihin koneisiin hyödyntämällä koneella saatavissa olevia käyttäjätunnuksia ja saastuttamaan muita sisäverkon laitteita, joihin voi kirjautua samoilla tunnuksilla. Erityisesti ylläpitotunnuksia sisältävät laitteet voivat viraston mukaan saastuttaa nopeasti koko verkon.
Haittaohjelma ylikirjoittaa tietokoneen kiintolevyn käynnistyslohkon ja käynnistää koneen uudelleen tunnin kuluttua, jolloin käyttäjälle esitetään lunnasvaatimus ja tiedostot salataan. Jos ylikirjoitus ei onnistu, ohjelma aloittaa välittömästi tiedostojen salauksen.
Haavoittuvuudelta voi suojautua muun muassa asentamalla Windowsin korjauspäivitykset tai estämällä M.E.Doc -kirjanpito-ohjelmiston automaattiset päivitykset.
