RU EN

Обнаружен третий вымогатель, атаковавший Украину за последнее время

30.06.2017

Помимо NotPetya и XData, на украинских пользователей обрушился PSCrypt.  

Petya.A (он же NotPetya) – уже третье вымогательское ПО, агрессивно атаковавшее украинских пользователей за последние полтора месяца. Как ранее сообщалSecurityLab, 19 мая вымогатель XData инфицировал в четыре раза больше украинских пользователей, чем червь WannaCry за неделю. На прошлой неделе, до нашествия NotPetya, Украину атаковал вымогатель PSCrypt.

Все три вредоноса не имеют ничего общего за исключением одного – они отдают предпочтение украинским пользователям (на Украину пришлось около 80% от всех жертв XData и 60% от всех жертв NotPetya). В настоящее время о PSCrypt известно мало. Вредонос впервые попал в поле зрение ИБ-экспертов на прошлой неделе после сообщенияисследователя MalwareHunter о новом образце вымогательского ПО, агрессивно атакующем Украину.

Как показал анализ вредоноса, проведенный исследователями Лоуренсом Абрамсом (Lawrence Abrams), Фабианом Восаром (Fabian Wosar) и Майклом Гиллеспи (Michael Gillespie), PSCrypt является вымогательским ПО на основе GlobeImposter 2.0 – вымогателя, активного приблизительно год назад и эволюционировавшего из семейства Globe. В прошлом программы этого семейства были серьезной угрозой, атаковавшей пользователей в разных странах. Тем не менее, PSCrypt атаковал преимущественно Украину, и лишь малая толика пришлась на случайные жертвы в других странах.

Распространение PSCrypt началось 21 июня. Атака оказалась не такой масштабной, как в случае с NotPetya или даже с XData. Однако намерение киберпреступников атаковать именно украинцев налицо (78% жертв вредоноса пришлось на Украину). В отличие от вышеупомянутых вымогателей PSCrypt распространялся не с серверов обновлений ПО для бухучета M.E.Doc, а через незащищенное подключение по RDP.

Злоумышленники получали доступ к атакуемой системе, а затем загружали и запускали файл wmodule.exe или wmodule.zip. Далее вредонос шифровал хранящиеся на компьютере файлы, добавляя к ним расширение .pscrypt, и загружал уведомление с требованием выкупа Paxynok.html. По умолчанию требование отображалось на украинском языке, однако в исходном коде вредоноса исследователи также обнаружили английскую версию. Злоумышленники требовали заплатить выкуп в гривнах через платежные терминалы iBox, использующиеся только в городах Украины.

securitylab.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.