«Клоны» WannaCry продолжают атаковать Украину
За последние полтора месяца Украина подверглась четырем атакам с использованием вымогательского ПО.
Вслед за вредоносными кампаниями XData, PScrypt и NotPetya (так же известен как Petya.A) Украина подверглась еще одной кампании по распространению вымогательского ПО. Вредонос обнаружил исследователь безопасности, известный в Сети как MalwareHunter.
За последние полтора месяца в Украине были замечены уже четыре атаки с использованием вымогательского ПО. В середине мая была зафиксирована кампания по распространению XData, на минувшей неделе украинские пользователи столкнулись с шифровальщиком PSCrypt и во вторник, 27 июня, начались атаки печально известного вымогателя NotPetya, который вывел из строя сети украинского правительства, ряда компаний и организаций. По данным эксперта, четвертая кампания началась в понедельник, 26 июня, за день до атак NotPetya.
Так же как в случаях NotPetya и XData механизм распространения нового вымогательского ПО (у него пока нет названия) задействует сервис для оптимизации бухгалтерских операций M.E.Doc, но пока неясно, как именно осуществляется инфицирование - через серверы обновления ПО либо через вредоносное приложение M.E.Doc. С начала атак NotPetya разработчики M.E.Doc неоднократно опровергали информацию о том, что источником заражения может стать установка обновления M.E.Doc. По их словам, компания сама стала жертвой кибератаки, а механизм обновления никак не может быть источником заражения. Согласно сообщению разработчиков в Facebook, компания обратилась к правоохранителям и экспертам в области кибербезопасности для оказания содействия в поиске источника атак и механизмов распространения вредоносного ПО.
«Четвертый» шифровальщик имитирует дизайн вымогателя WannaCry, но на деле не является его клоном. Во-первых, он создан с помощью .NET, а не С, как WannaCry. Во-вторых, для его распространения не используются эксплоиты Агентства национальной безопасности США. Кроме того, внутренняя структура вредоноса совершенно иная.
«Двойник WannaCry, пожалуй, лучший образец вымогательского ПО, созданного с помощью .NET, что мы видели. Его точно делали не скрипт-кидди», - отметил MalwareHunter.
Вымогатель инфицирует систему через загрузчик и использует управляющий сервер в сети Tor. Вредоносное ПО не запускается без специальных команд. Он также проверяет, используются ли файлы, которые нужно зашифровать, в уже запущенных приложениях и если да, прекращает работу программ.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!