Подражатель wannacry пытался «подсидеть» notpetya в день его триумфа
27 июня текущего года вошел в историю как день, когда Украину поверг в хаос шифровальщик NotPetya (Petya.A, ExPetr). Однако помимо «Пети», в этот же день была осуществлена еще одна атака с использованием совсем другого вымогательского ПО, которая осталась практически незамеченной.
Как известно, главным вектором распространения NotPetya стало зараженное бэкдором обновление для украинской бухгалтерской программы «M.e.doc». Тем не менее, как сообщают исследователи «Лаборатории Касперского», NotPetya был не единственным вымогателем, попавшим на системы жертв этим путем. Согласно данным телеметрии, в программной папке «M.e.doc» содержалось дополнительное вредоносное ПО, запускавшееся как ed.exe (c:\programdata\medoc\medoc\ed.exe) родительским процессом ezvit.exe (компонент «M.e.doc»).
Дополнительный вредонос представлял из себя вымогательскую программу, созданную с помощью платформы .NET Framework и содержащую в коде строку WNCRY – явная отсылка к печально известному вымогателю WannaCry. «Случайно» оставленный путь к PDB также указывает на то, что название проекта было WannaCry. Кроме того, исследователи обнаружили в коде строку «made in China». Поскольку вредонос лишь копирует WannaCry, эксперты ЛК назвали его FakeCry.
Подражатель способен шифровать файлы, даже если они заблокированы другим процессом. FakeCry прерывает процесс и с помощью инструмента Sysinternals (Handler Viewer) завершает свою задачу. Примечательно, вредонос содержит список расширений под названием DEMO_EXTENSIONS, куда входят только расширения графических файлов (jpg, jpeg, png, tif, gif и bmp). Злоумышленники обещают расшифровать эти файлы бесплатно, очевидно, в качестве рекламы. За восстановление остальных данных жертва должна заплатить 0,1 биткойна (около $260).
Hi! I am a robot. I just upvoted you! I found similar content that readers might be interested in:
http://israelmedia.co.il/tech/podrazhatel-wannacry-pytalsya-podsidet-notpetya-v-den-ego-triumfa/
петя)
Well written
Congratulations @kkoool! You have received a personal award!
1 Year on Steemit
Click on the badge to view your Board of Honor.
Do not miss the last post from @steemitboard!
Participate in the SteemitBoard World Cup Contest!
Collect World Cup badges and win free SBD
Support the Gold Sponsors of the contest: @good-karma and @lukestokes
Congratulations @kkoool! You received a personal award!
You can view your badges on your Steem Board and compare to others on the Steem Ranking
Vote for @Steemitboard as a witness to get one more award and increased upvotes!