«Клоны» WannaCry продолжают атаковать Украину

«Клоны» WannaCry продолжают атаковать Украину

За последние полтора месяца Украина подверглась четырем атакам с использованием вымогательского ПО.

image

Вслед за вредоносными кампаниями XData, PScrypt и NotPetya (так же известен как Petya.A) Украина подверглась еще одной кампании по распространению вымогательского ПО. Вредонос обнаружил исследователь безопасности, известный в Сети как MalwareHunter.

За последние полтора месяца в Украине были замечены уже четыре атаки с использованием вымогательского ПО. В середине мая была зафиксирована кампания по распространению XData, на минувшей неделе украинские пользователи столкнулись с шифровальщиком PSCrypt и во вторник, 27 июня, начались атаки печально известного вымогателя NotPetya, который вывел из строя сети украинского правительства, ряда компаний и организаций. По данным эксперта, четвертая кампания началась в понедельник, 26 июня, за день до атак NotPetya.

Так же как в случаях NotPetya и XData механизм распространения нового вымогательского ПО (у него пока нет названия) задействует сервис для оптимизации бухгалтерских операций M.E.Doc, но пока неясно, как именно осуществляется инфицирование - через серверы обновления ПО либо через вредоносное приложение M.E.Doc. С начала атак NotPetya разработчики M.E.Doc неоднократно опровергали информацию о том, что источником заражения может стать установка обновления M.E.Doc. По их словам, компания сама стала жертвой кибератаки, а механизм обновления никак не может быть источником заражения. Согласно сообщению разработчиков в Facebook, компания обратилась к правоохранителям и экспертам в области кибербезопасности для оказания содействия в поиске источника атак и механизмов распространения вредоносного ПО.

«Четвертый» шифровальщик имитирует дизайн вымогателя WannaCry, но на деле не является его клоном. Во-первых, он создан с помощью .NET, а не С, как WannaCry. Во-вторых, для его распространения не используются эксплоиты Агентства национальной безопасности США. Кроме того, внутренняя структура вредоноса совершенно иная.

«Двойник WannaCry, пожалуй, лучший образец вымогательского ПО, созданного с помощью .NET, что мы видели. Его точно делали не скрипт-кидди», - отметил MalwareHunter.

Вымогатель инфицирует систему через загрузчик и использует управляющий сервер в сети Tor. Вредоносное ПО не запускается без специальных команд. Он также проверяет, используются ли файлы, которые нужно зашифровать, в уже запущенных приложениях и если да, прекращает работу программ.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.