Tudo terá começado numa produtora de software ucraniana. Quem o garante são os investigadores da ESET, uma empresa que desenvolver antivírus e outras aplicações de segurança. Segundo estes especialistas, «o “paciente zero” do novo ataque mundial de ransomware revelou-se (infelizmente) numa boa escolha para iniciar a infeção, uma vez que é uma empresa cujo software de contabilidade é muito popular e usado em diferentes setores económicos da Ucrânia, incluindo instituições financeiras».
O ransomware Petya terá sido disseminado através de uma atualização infetada para o software M.E.Doc, que foi descarregada e instalada por uma boa parte das empresas ucranianas que utilizam esta aplicação de contabilidade. A infeção acabou por chegar a outros países através de outros meios de disseminação. Segundo a ESET, os países mais afetados são, por ordem de impacto, Itália, Israel, Sérvia, Roménia, Estados Unidos, Lituânia e Hungria.
Como é típico dos ataques de ransomware, o Petya pede um resgate para desencriptar os ficheiros que deixam de ficar acessíveis às vítimas. No entanto, a ESET determinou que o pagamento do resgate não conduz a qualquer recuperação dos ficheiros porque os dados referentes à identificação da conta Bitcoin dos “raptores” (Wallet ID e Personal Instalation Key) já foram desativados.
Atualização: A M.E.Doc já negou as alegações da ESET através do Facebook (em ucraniano).
