Falso Wannacry Ransome descoberto usando o sistema de propagação NotPetya

Relatórios recentes Kaspersky Lab afirma um novo limpador de dados Trojan é descoberto que está usando o mesmo canal para obter propagado como Notpetya Wiper faz. É tecnicamente chamado de uma versão falsa do Ransom Wannacry que está utilizando o mecanismo de atualização de m. e. doc comprometido a ser distribuído pela rede mundial. Como por os relatórios, este programa é descoberto nos finais da semana passada. Este novo resgate foi relatado pela primeira vez aos usuários de m. e. doc em 27 de junho, é o mesmo dia em que Notpetya surto começou e afetou mais de milhões de associações e shopping centers. Ele executa seu processo como URed.exe na pasta m. e. doc pelo processo pai chamado URezvit.exe, que sugere claramente o mesmo mecanismo que foi usado pelo Notpetya.

Esta versão wannacry falso é identificado programado através do .NET que inclui uma “WNCRY” String, que foi claramente dando pista e associado com uma das mais maciças detecção de resgate em maio de 2017, wannacry. Além de apoiar este relatório, também é identificado o programa tem “esquecido” caminho PDB dentro dele. Como por a respresentação da bandeira deste Ransome, parece ser “feito em China”, mas os peritos adicionaram-lhe uma bandeira falsa. No mês recentemente ido junho, muitas das associações de segurança aconselhou Wannacry é o desenvolvimento de hackers norte coreanos, no entanto, na contradição, alguns especificou este programa não se reúne com a maneira do norte coreano. Mas os relatórios de inteligência de uma empresa de análise de renome linguística acrescentou que o resgate notas de Wannacry Ransome são baseados em chinês. Relataram mesmo os ataques deste malware eram altofalantes chineses fluentes com ter a consciência adicional sobre falar o inglês.

Pesquisadores relataram o falso Wannacry, ou Fakecry alvos em torno de 175 tipos de dados e pode matar os processos se tentou desbloquear os arquivos criptografados. Ele é encontrado fazendo usos da ferramenta Handler Viewer Sysinternals para realizar esta tarefa. Além disso, este Ransome mesmo consistir de uma lista de extensões que na sua maioria inclui variantes de arquivo de imagem, que os atacantes podem descriptografar em PCs infectados gratuitamente.

Comparando FakeCry a Wannacry, a nota de resgate de ambos os resgates encontrados semelhantes e estava sendo distribuído através de atualizações Medoc em 27 de junho. Como por a nota, os atacantes exige cerca de 260 dólares e.u. em moeda Bitcoin que cai em torno de 0,1 Bitcoin, e encontrou usando o mesmo número de carteira para todas as infecções. Além disso, é identificado o programa está usando o servidor Tor para executar mais comandos e controle após a infecção.

Assim, palavras de conclusão da boca diz que as famílias de malware estão sendo distribuídas através do mesmo vetor e, ao mesmo tempo, no entanto, os pesquisadores ainda têm que ir muito tempo para estabelecer uma relação definitiva entre ambos ransowmare maciça.