Основной класс бэкдора NotPetya называется MeCom.
В этом классе есть переменная EDRPOU в которую бекдор записывал, вы не поверите, ЕДРПОУ. И еще он дохера чего записывал. Мыльца, пароли, адреса, файлы и т.д.
Выводы.
1) Вирус написан исключительно для Украины - все прочие заражения по всему миру это случайность, collateral damage. ЕДРПОУ - расшифровывается как Код Єдиного державного реєстру підприємств та організацій України и не существует нигде кроме как в Украине.
2) Организаторы атаки занимались не заработком денег, и весьма возможно даже не блекаутом(или обрушением). Это скорее выяснение уязвимости всей украинской системы - куда еще доберется заражение, какая будет реакция ну и в процесса потащить кучу инфы, которую теперь наверняка разгребают тысячи человек.
Each organization that does business in Ukraine has a unique legal entity identifier called the EDRPOU number (Код ЄДРПОУ). This is extremely important for the attackers: having the EDRPOU number, they could identify the exact organization that is now using the backdoored M.E.Doc. Once such an organization is identified, attackers could then use various tactics against the computer network of the organization, depending on the attackers’ goal(s).
3) Соответственно, из этого поста мы таки смотрим вариант номер три - https://www.facebook.com/anton.an.shvets/posts/435064050199239
4) Я даже близко не могу представить, что они успели узнать и про кого и каких дырок успели понавертеть до того как все посыпалось.
14.02.2022. Херсонська область. За кілька десятків кілометрів від адмінмежі з Кримом. Зїхались на нараду в командування тодішнього управління угруповання військ «Південь». Нарада називалась «Організація взаємодії». Я з своїм підрозділом і шістдесятьма ...
Они думали, русские сюда не зайдут. Зачем им маленькое село Ягодное, в котором всего четыреста жителей и пять улиц? Они думали, русские сюда не зайдут. Зачем им маленькое село Ягодное, в котором всего четыреста жителей и пять улиц? Школа, упирающаяся в...