Кибератака на аптеки, промышленный шпионаж, инсайд и расследование длиной в 4 года. Казалось бы, при чём тут «Петя»?

[NULL_byte]

Создатели заботливо добавили?

[uldashev]

Данные по закупкам это довольно интересная информация, и позволяет поставщикам выставлять цены чуть ниже чем у конкурентов, для разных аптек цены разные, скорее всего в данной ситуации поставщик ПО целенаправленно собирал данные и сливал заинтересованным поставщикам за спасибо.

[impetus]

Кроме добавления в вирусные базы — какие-нибудь юридические последствия расследование имело?

[inook]

Ну сколько можно уже про «Петю» писать, каждая 3-я статья про него. Статьи не совсем подходят для хабра. Идите на geektimes и там публикуйте свои расследования.

[n1tra]

Дада, не мешайте профи обсуждать 100500й фреймворк! Скажите честно, зачем вы зашли сюда, потратили время, оставили этот коммент? Неужели чтобы послать на гиктаймс? У вас все нормально с душевным здоровьем? :)

[Alexsandr_SE]

Только вчера писал, что походу это начало новой вехи вирусов, когда они идут вместо с легального обновления. Дальше похоже будет хуже.

И да, кто туда добавил вирусы создатели программы или нет?

[Old_Chroft]

В статье по первой ссылке говориться, что в мед-софт зараза подсажена кем то из разработчиков (наличие валидной цифровой подписи какбэ намекает). Ну или как вариант — зараженные компы разработчиков, от чего в принципе тоже ни разу не легче.

[Alexsandr_SE]

Если там вообще есть подпись. И даже если есть, то сертификат для подписи мог храниться сразу на сервере. Нужно было вообще не давать файла запускать исполняемые.

[Machine79]

Почту Petya заблокировали? Теперь выкуп не перевести если файлы заражены?

[doctorweb]

Да. Но выкуп лучше вообще не платить никогда — во-первых, это поощрение преступления, во-вторых, далеко не факт, что злоумышленники справятся с расшифровкой. Ломать — не строить.

[Veganin]

Украденная информация сливалась на зарубежные серверы. Dr Web не хакнул их и не размотал всю цепочку с установлением имени выгодополучателя?

[doctorweb]

Хакать нехорошо! Ну и всё такое. А вообще, уточню, можно ли это говорить.

[doctorweb]

Интересный! Но не совсем к нам. Наше дело — передать информацию соответствующим организациям. А они уже дальше по ней работают.

[deadmoz5er]

Интересно.

[abyrkov]

Интересно, но с точки зрения уязвимости апдейтов, опенсорс оказывается в плюсе в итоге?

[rawman]

Чтобы было понятно, кто это и для чего,
скажу что компания Спарго является дочерней компанией самого крупного фармацевтического дистрибьютора, компании Протек.

[kamalla]

2 раза находили у себя такой вирус, оба раза Dande2.
Действительно, вирус был только на тех машинах где стояла эприка.
Причем часть машин сломалась — перестала запускаться Windows, а остальные работали и не было проблем.
Похоже что троян работает выборочно. Все антивирусы кроме Dr.Web этот бэкдор не видят толком.
стоял лицензионный Касперский и только ругался на процесс в оперативной памяти.
никакие проверки Касперским результата не давали.
Проверили лечилкой Dr.Web Cureit, результат:
\Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\system32\drivers\RpcSsPrt.sys — infected with BackDoor.Dande.2
\Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\system32\drivers\RpcSsPrt.sys — infected
Process \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\explorer.exe:1008 — infected with BackDoor.Dande.2
Process \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\explorer.exe:1008 — neutralized
C:\WINDOWS\system32\drivers\RpcSsPrt.cfg — infected with BackDoor.Dande.2
C:\WINDOWS\system32\drivers\RpcSsPrt.cfg — infected
C:\WINDOWS\system32\drivers\RpcSsPrt.sys — infected with BackDoor.Dande.2
C:\WINDOWS\system32\drivers\RpcSsPrt.sys — infected

Если вы аптечное предприятие и есть эприка — высокая вероятность что с помощью Dr.Web Cureit найдете этот вирус.
Причем после чистки через какое-то время он может появиться снова. Выводы делайте сами.