Fake WannaCry Ransomware utilise le système de distribution de NotPetya


L'essuie-glace NotPetya n'a pas été le seul produit malveillant distribué la semaine dernière en utilisant le mécanisme de mise à jour MEDoc compromis: une fausse variante Wanschry Ransomware a été livrée en utilisant la même chaîne, rapporte Kaspersky Lab.

Appelé FakeCry le ransomware a été livré aux utilisateurs de M.E.Doc le 27 juin, le même jour que l'épidémie de NotPetya a commencé. Selon Kaspersky, il a été exécuté comme ed.exe dans le répertoire MEDoc par le processus parent ezvit.exe suggérant qu'il utilise le même mécanisme de livraison abusé par NotPetya.

Écrit dans .NET et incluant une chaîne "WNCRY", le ransomware faisait clairement référence à l'épidémie massive de WannaCry en mai 2017, et le même chemin de PDB "oublié" était à l'intérieur. Cependant, les logiciels malveillants semblent également être «fabriqués en Chine», ce que les chercheurs suggèrent est un faux drapeau.

Le mois dernier, certains chercheurs sur la sécurité ont suggéré que WannaCry était le travail de pirates nord-coréens, tandis que d'autres ont suggéré qu'il ne correspondait pas au style nord-coréen. L'entreprise d'intelligence de menace d'analyse linguistique, Flashpoint, réalisée sur 28 notes de ristourne de WannaCry a révélé que les attaquants étaient des locuteurs chinois parlants qui semblaient également connaître l'anglais.

Contrairement à WannaCry, qui se propage dans l'exploitation EternalBlue Windows, FakeCry utilise un compte-gouttes enregistré sur le disque comme wc.exe . Le compte-gouttes peut exécuter plusieurs commandes: déposez le composant ransomware; Commencer le cryptage; Commencer le décryptage; (clé publique pour le chiffrement et clé privée pour le décryptage); Et démo (cryptage ou décryptage avec code dur …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils