偽の Wannacry ランサムウェアは、NotPetya の伝播システムを使用して発見

カスペルスキーの最近のレポートでは、新しいデータワイパートロイの木馬は、Notpetya ワイパーが行うように伝播するために同じチャネルを使用して発見された状態。それは技術的に妥協された m. e. doc の更新のメカニズムを利用している Wannacry ランサムウェアの偽のバージョンと呼ばれるワールドワイドネットワークを介して配布する。レポートに従って、このプログラムは先週の終りに発見される。この新しいランサムウェアは、最初に627日に m. e. doc のユーザーに報告された, それは Notpetya の発生が開始し、アソシエーションやショッピングモールの何百万以上の影響を受けたときに非常に同じ日だ.それは URezvit.exe と呼ばれる親プロセスによって m. e. doc のホールダーの URed.exe としてプロセスを実行する、明確に Notpetya によって使用された同じメカニズムを提案する。

この偽の wannacry のバージョンは、明らかに手がかりを与え、52017wannacry で最も大規模なランサムウェアの検出のいずれかに関連付けられていた “WNCRY” 文字列が含まれている .net を介してプログラムされていることを識別します。このレポートをサポートするだけでなく、プログラムには 忘れられた” pdb パスが含まれていることも確認されています。このランサムウェアのフラグ表現に従って、それは 中国製と思われるが、専門家はそれに虚偽のフラグを追加しました。最近行った月6月では、セキュリティアソシエーションの多くは、Wannacry は北朝鮮のハッカーからの開発であることをお勧め、しかし、矛盾で、いくつかは、このプログラムは、北朝鮮の方法では満たしていない指定された。しかし評判が高い言語分析会社からの知性のレポートは Wannacry ランサムウェアの身代金のノートが中国語に基づいていることを加えた。それも、このマルウェアの攻撃を報告英語を話すことについての追加の意識を持つ流暢な中国語のスピーカーだった.

研究者は、偽の Wannacry を報告, または175のデータ型の周り Fakecry ターゲット, 暗号化されたファイルのロックを解除しようとすると、プロセスを殺すことができる.このタスクを実行するには、ハンドラビューア sysinternals ツールを使用していることがわかりました。さらに、このランサムウェアは、主に攻撃者が無料で感染した pc 上で復号化することができる画像ファイルの亜種が含まれている拡張子のリストで構成されています。

Wannacry FakeCry を比較すると、ランサムウェアの両方の身代金ノートは、同様に発見し、627日にメドックアップデートを介して配布されていた。ノートによると、攻撃者は約0.1 ビットコインのビットコイン通貨で約260米ドルを要求し、すべての感染症に同じ財布番号を使用して発見した。さらに、それはプログラムがそれ以上のコマンドと感染後の制御を実行するための tor サーバを使用して識別される。

だから、口の結論の言葉は、両方のマルウェアの家族が同じベクトルを介して配布されていると同時に、しかし、研究者はまだ長い間の両方の大規模な ransowmare の間の決定的な関係を確立するために行かなければならないという。