Avsløringen tyder på at angrepet mot landets offisielle nettsider, som skapte stor oppmerksomhet denne uken, var en avledning.
Det er foreløpig uklart hvor omfattende skadene på datasystemene er.
Angrepet kommer samtidig som Ukraina frykter en russisk invasjon øst i landet, og diplomatiske forsøk på å løse krisen ennå ikke har gitt synlige resultater.
Microsoft skriver i en blogg sent lørdag kveld at selskapet oppdaget den skadelige programvaren torsdag. Alarmen gikk samtidig som et dataangrep førte til at 70 nettsider knyttet til den ukrainske regjeringen i en periode mistet nettforbindelsen.
Usikkert hvor mange
Microsofts avsløring kommer få timer etter at nyhetsbyrået Reuters siterte en ukrainsk sikkerhetstopp som sa at dataangrepet som satte nettsidene ut av spill, i virkeligheten var et angrep med skadelig programvare.
Microsoft skriver i en annen melding at systemene som er rammet, tilhører både regjeringen, frivillige organisasjoner og IT-selskaper. Det er imidlertid uklar hvor mange organisasjoner som er rammet totalt sett i Ukraina og andre steder.
– Den skadelige programvaren er forkledd som løsepengevirus, men hvis det blir aktivert av angriperen, vil det sette det infiserte datasystemet ut av drift, skriver Microsoft. Det betyr i praksis at det mangler en mekanisme for å tilbakestille løsepengeviruset.
Anklager Russland
Ifølge selskapet begynner programvaren å virke når tilhørende utstyr blir skrudd av, noe som er en typisk reaksjon etter et angrep med løsepengevirus. Microsoft har ennå ikke greid å finne ut noe om motivet for den destruktive aktiviteten eller knytte angrepet til aktører som er kjent for å utgjøre en trussel.
Den ukrainske sikkerhetstoppen, Serhij Demedjuk, sier til Reuters at angriperne brukte programvare som ligner på det som blir brukt av russisk etterretning.
Russland har gjentatte ganger avvist at landet er involvert i dataangrep mot Ukraina.