Подражатель wannacry пытался «подсидеть» notpetya в день его триумфа

in #ru7 years ago

27 июня текущего года вошел в историю как день, когда Украину поверг в хаос шифровальщик NotPetya (Petya.A, ExPetr). Однако помимо «Пети», в этот же день была осуществлена еще одна атака с использованием совсем другого вымогательского ПО, которая осталась практически незамеченной.

Как известно, главным вектором распространения NotPetya стало зараженное бэкдором обновление для украинской бухгалтерской программы «M.e.doc». Тем не менее, как сообщают исследователи «Лаборатории Касперского», NotPetya был не единственным вымогателем, попавшим на системы жертв этим путем. Согласно данным телеметрии, в программной папке «M.e.doc» содержалось дополнительное вредоносное ПО, запускавшееся как ed.exe (c:\programdata\medoc\medoc\ed.exe) родительским процессом ezvit.exe (компонент «M.e.doc»).

Дополнительный вредонос представлял из себя вымогательскую программу, созданную с помощью платформы .NET Framework и содержащую в коде строку WNCRY – явная отсылка к печально известному вымогателю WannaCry. «Случайно» оставленный путь к PDB также указывает на то, что название проекта было WannaCry. Кроме того, исследователи обнаружили в коде строку «made in China». Поскольку вредонос лишь копирует WannaCry, эксперты ЛК назвали его FakeCry.

Подражатель способен шифровать файлы, даже если они заблокированы другим процессом. FakeCry прерывает процесс и с помощью инструмента Sysinternals (Handler Viewer) завершает свою задачу. Примечательно, вредонос содержит список расширений под названием DEMO_EXTENSIONS, куда входят только расширения графических файлов (jpg, jpeg, png, tif, gif и bmp). Злоумышленники обещают расшифровать эти файлы бесплатно, очевидно, в качестве рекламы. За восстановление остальных данных жертва должна заплатить 0,1 биткойна (около $260).

Sort:  

Congratulations @kkoool! You have received a personal award!

1 Year on Steemit
Click on the badge to view your Board of Honor.

Do not miss the last post from @steemitboard!


Participate in the SteemitBoard World Cup Contest!
Collect World Cup badges and win free SBD
Support the Gold Sponsors of the contest: @good-karma and @lukestokes


Do you like SteemitBoard's project? Then Vote for its witness and get one more award!

Congratulations @kkoool! You received a personal award!

Happy Birthday! - You are on the Steem blockchain for 2 years!

You can view your badges on your Steem Board and compare to others on the Steem Ranking

Vote for @Steemitboard as a witness to get one more award and increased upvotes!