Falso Wannacry ransomware descubierto utilizando el sistema de propagación de NotPetya

Los informes recientes de Kaspersky Lab indican que se descubre un nuevo troyano de limpiaparabrisas de datos que utiliza el mismo canal para propagarse como lo hace Notpetya wiper. Técnicamente se llama una versión falsa de Wannacry ransomware que está utilizando el mecanismo de actualización comprometida de m. e. doc para ser distribuido en la red mundial. Según los informes, este programa se descubre en los finales de la semana pasada. Este nuevo ransomware fue divulgado primero a los usuarios del m. e. doc el 27 de junio, es el mismo día en que el brote de Notpetya comenzó y afectó sobre millones de asociaciones y de alamedas de compras. Funciona su proceso como URed.exe en la carpeta del m. e. doc por el proceso del padre llamado URezvit.exe, eso sugiere claramente el mismo mecanismo que fue utilizado por el Notpetya.

Esta versión falsa wannacry se identifica programada a través de .net que incluye una cadena “WNCRY”, que estaba claramente dando pista y asociada con una de la detección ransomware más masiva en mayo de 2017, wannacry. Además de apoyar este informe, también se ha identificado que el programa ha “olvidado” la ruta PDB dentro de ella. Según la representación de la bandera de este ransomware, parece ser “hecho en China”, pero los expertos lo agregaron una bandera falsa. En el mes de junio pasado, muchas de las asociaciones de seguridad asesoraron a Wannacry es el desarrollo de hackers norcoreanos, sin embargo, en la contradicción, algunos especificaron que este programa no se reúne con el camino norcoreano. Pero los informes de inteligencia de una firma de análisis lingüístico renombrado agregó que las notas del rescate de Wannacry ransomware se basan en chino. Incluso informó que los ataques de este malware eran altavoces chinos fluidos con tener conciencia adicional acerca de hablar inglés.

Los investigadores reportaron la falsa Wannacry, o Fakecry objetivos alrededor de 175 tipos de datos y pueden matar los procesos si se intenta desbloquear los archivos encriptados. Se ha encontrado haciendo uso de la herramienta Sysinternals Viewer de handler para realizar esta tarea. Además, este ransomware incluso consiste en una lista de extensiones que incluye principalmente variantes de archivo de imágenes, que los atacantes pueden descifrar en PCS infectados de forma gratuita.

Comparando FakeCry con Wannacry, la nota de rescate de ambos ransomware encontró similar y se estaba distribuyendo a través de actualizaciones de Médoc el 27 de junio. Según la nota, los atacantes exigen alrededor de 260 dólares estadounidenses en moneda Bitcoin que cae alrededor de 0,1 bitcoin, y se encuentra usando el mismo número de billetera para todas las infecciones. Además, se ha identificado que el programa utiliza Tor Server para realizar otros comandos y controlar después de la infección.

Por lo tanto, las palabras de la conclusión de la boca dice que tanto las familias de malware se están distribuyendo a través de mismo vector y al mismo tiempo, sin embargo, los investigadores todavía tienen que ir mucho tiempo para establecer una relación definitiva entre ambos ransowmare masivo.