Помимо Petya.A, NotPetya и XData, пользователям угрожает вредонос именуемый PSCrypt.
Petya.A – уже третье вымогательское ПО, агрессивно атаковавшее украинских пользователей за последние полтора месяца. Вымогатель XData за один день (19 мая) инфицировал в четыре раза больше украинских пользователей, чем червь WannaCry за неделю. А на прошлой неделе, до нашествия NotPetya, стало известно о новом вымогателе – PSCrypt.
Ничего общего между этими вредоносами нет, за исключением их географической направленности – около 80% от всех жертв XData и 60% от всех жертв NotPetya пришлось на Украину.
О PSCrypt известно мало. Вредонос впервые попал в поле зрения ИБ-экспертов на прошлой неделе после сообщения исследователя MalwareHunter о новом образце вымогательского ПО, агрессивно атакующего Украину. Как показал анализ исследователей Лоуренса Абрамса, Фабиана Восара и Майкла Гиллеспи, PSCrypt является вымогательским ПО на основе GlobeImposter 2.0 – вымогателя, эволюционировавшего из семейства Globe. В прошлом эти вирусы активно использовались против пользователей по всему миру.
Распространение PSCrypt началось 21 июня. Атака была не такой масштабной, как в случае с NotPetya или даже с XData. Однако намерение киберпреступников атаковать именно украинцев очевидно – 78% жертв вредоноса пришлось на Украину. В отличие от вышеупомянутых вымогателей, PSCrypt распространялся не с серверов обновлений ПО для бухучета M.E.Doc, а через незащищенное подключение по RDP.
Злоумышленники получали доступ к атакуемой системе, после чего загружали и запускали файл wmodule.exe или wmodule.zip. Затем вредонос шифровал хранящиеся на компьютере файлы, добавляя к ним расширение .pscrypt, и загружал уведомление с требованием выкупа Paxynok.html. По умолчанию требование отображалось на украинском языке, однако в исходном коде вредоноса исследователи обнаружили и английскую версию. Сумма выкупа – в гривне, а перевод – через платежные терминалы iBox.
Стоит отметить, что исследователи утверждают, что вредонос NotPetya – это то же, что и Petya.A. При этом NotPetya шифрует данные без возможности их восстановления, что равнозначно удалению. Эксперты полагают, что злоумышленники таким образом хотели не обогатиться, а посеять хаос. В то же время, согласно твиту автора оригинального вымогателя Petya, к NotPetya никакого отношения он не имеет.
Источник http://www.securitylab.ru/
