Fake WannaCry Ransomware utilise le système de distribution de NotPetya
Français
L'essuie-glace NotPetya n'a pas été le seul produit malveillant distribué la semaine dernière en utilisant le mécanisme de mise à jour MEDoc compromis: une fausse variante Wanschry Ransomware a été livrée en utilisant la même chaîne, rapporte Kaspersky Lab.
Appelé FakeCry le ransomware a été livré aux utilisateurs de M.E.Doc le 27 juin, le même jour que l'épidémie de NotPetya a commencé. Selon Kaspersky, il a été exécuté comme ed.exe dans le répertoire MEDoc par le processus parent ezvit.exe suggérant qu'il utilise le même mécanisme de livraison abusé par NotPetya.
Écrit dans .NET et incluant une chaîne "WNCRY", le ransomware faisait clairement référence à l'épidémie massive de WannaCry en mai 2017, et le même chemin de PDB "oublié" était à l'intérieur. Cependant, les logiciels malveillants semblent également être «fabriqués en Chine», ce que les chercheurs suggèrent est un faux drapeau.
Le mois dernier, certains chercheurs sur la sécurité ont suggéré que WannaCry était le travail de pirates nord-coréens, tandis que d'autres ont suggéré qu'il ne correspondait pas au style nord-coréen. L'entreprise d'intelligence de menace d'analyse linguistique, Flashpoint, réalisée sur 28 notes de ristourne de WannaCry a révélé que les attaquants étaient des locuteurs chinois parlants qui semblaient également connaître l'anglais.
Contrairement à WannaCry, qui se propage dans l'exploitation EternalBlue Windows, FakeCry utilise un compte-gouttes enregistré sur le disque comme wc.exe . Le compte-gouttes peut exécuter plusieurs commandes: déposez le composant ransomware; Commencer le cryptage; Commencer le décryptage;
