События

Обнаружен третий вымогатель, атаковавший Украину за последнее время

Обнаружен третий вымогатель, атаковавший Украину за последнее время

Petya.A (он же NotPetya) – уже третье вымогательское ПО, агрессивно атаковавшее украинских пользователей за последние полтора месяца. Как ранее сообщал SecurityLab, 19 мая вымогатель XData инфицировал в четыре раза больше украинских пользователей, чем червь WannaCry за неделю. На прошлой неделе, до нашествия NotPetya, Украину атаковал вымогатель PSCrypt.

Все три вредоноса не имеют ничего общего за исключением одного – они отдают предпочтение украинским пользователям (на Украину пришлось около 80% от всех жертв XData и 60% от всех жертв NotPetya). В настоящее время о PSCrypt известно мало. Вредонос впервые попал в поле зрение ИБ-экспертов на прошлой неделе после сообщения исследователя MalwareHunter о новом образце вымогательского ПО, агрессивно атакующем Украину.

Как показал анализ вредоноса, проведенный исследователями Лоуренсом Абрамсом (Lawrence Abrams), Фабианом Восаром (Fabian Wosar) и Майклом Гиллеспи (Michael Gillespie), PSCrypt является вымогательским ПО на основе GlobeImposter 2.0 – вымогателя, активного приблизительно год назад и эволюционировавшего из семейства Globe. В прошлом программы этого семейства были серьезной угрозой, атаковавшей пользователей в разных странах. Тем не менее, PSCrypt атаковал преимущественно Украину, и лишь малая толика пришлась на случайные жертвы в других странах.

Распространение PSCrypt началось 21 июня. Атака оказалась не такой масштабной, как в случае с NotPetya или даже с XData. Однако намерение киберпреступников атаковать именно украинцев налицо (78% жертв вредоноса пришлось на Украину). В отличие от вышеупомянутых вымогателей PSCrypt распространялся не с серверов обновлений ПО для бухучета M.E.Doc, а через незащищенное подключение по RDP.

Злоумышленники получали доступ к атакуемой системе, а затем загружали и запускали файл wmodule.exe или wmodule.zip. Далее вредонос шифровал хранящиеся на компьютере файлы, добавляя к ним расширение .pscrypt, и загружал уведомление с требованием выкупа Paxynok.html. По умолчанию требование отображалось на украинском языке, однако в исходном коде вредоноса исследователи также обнаружили английскую версию. Злоумышленники требовали заплатить выкуп в гривнах через платежные терминалы iBox, использующиеся только в городах Украины.

Источник

Автор: Сергей Куприянов
29.06.2017 (11:45)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.