Подражатель wannacry пытался «подсидеть» notpetya в день его триумфа

27 июня текущего года вошел в историю как день, когда Украину поверг в хаос шифровальщик NotPetya (Petya.A, ExPetr). Однако помимо «Пети», в этот же день была осуществлена еще одна атака с использованием совсем другого вымогательского ПО, которая осталась практически незамеченной.

Как известно, главным вектором распространения NotPetya стало зараженное бэкдором обновление для украинской бухгалтерской программы «M.e.doc». Тем не менее, как сообщают исследователи «Лаборатории Касперского», NotPetya был не единственным вымогателем, попавшим на системы жертв этим путем. Согласно данным телеметрии, в программной папке «M.e.doc» содержалось дополнительное вредоносное ПО, запускавшееся как ed.exe (c:\programdata\medoc\medoc\ed.exe) родительским процессом ezvit.exe (компонент «M.e.doc»).

Дополнительный вредонос представлял из себя вымогательскую программу, созданную с помощью платформы .NET Framework и содержащую в коде строку WNCRY – явная отсылка к печально известному вымогателю WannaCry. «Случайно» оставленный путь к PDB также указывает на то, что название проекта было WannaCry. Кроме того, исследователи обнаружили в коде строку «made in China». Поскольку вредонос лишь копирует WannaCry, эксперты ЛК назвали его FakeCry.

Подражатель способен шифровать файлы, даже если они заблокированы другим процессом. FakeCry прерывает процесс и с помощью инструмента Sysinternals (Handler Viewer) завершает свою задачу. Примечательно, вредонос содержит список расширений под названием DEMO_EXTENSIONS, куда входят только расширения графических файлов (jpg, jpeg, png, tif, gif и bmp). Злоумышленники обещают расшифровать эти файлы бесплатно, очевидно, в качестве рекламы. За восстановление остальных данных жертва должна заплатить 0,1 биткойна (около $260).