Внимание специалистов и СМИ всего мира в последние дни сосредоточено вокруг новой версии шифровальщика Petya (он же NotPetya, SortaPetya, Petna, Nyetya, ExPetr и так далее), которая, по сути, является не вымогателем, а вайпером, то есть умышленно повреждает информацию на диске, почти не оставляя шансов на ее восстановление.

От атак вредоноса в основном пострадали страны СНГ и Европы, но наибольший урон получили украинские компании. Ниже можно увидеть свежий график распределения атак, составленный специалистами компании ESET.

ИБ-исследователь, известный под псевдонимом MalwareHunter, и журналисты сайта Bleeping Computer обратили внимание, что Petya стал уже четвертым вымогателем, атаковавшим украинские организации за последнее время. Так, первыми были шифровальщики XData (в середине мая 2017 года) и PSCrypt (на прошлой неделе). Затем произошла массовая атака Petya, а теперь MalwareHunter обнаружил еще одну угрозу, которая тщательно копирует нашумевший вымогатель WannaCry.

MalwareHunter признается, что мог бы не заметить вредоноса, если бы практически все добавленные на VirusTotal образцы малвари не поступали от украинских пользователей. Эта особенность привлекла внимание специалиста. Судя по всему, атака началась еще 26 июня 2017 года, за день до начала массового распространения Petya.

По словам специалиста, внешне малварь выглядит в точности как WannaCry, но не является полноценным клоном этого шифровальщика. Так, оригинальный WannaCry был написан на C, тогда как подражатель использует .NET. При этом MalwareHunter отмечает, что это один из наиболее талантливо написанных .NET-вредоносов, что ему приходилось видеть.

Подражатель WannaCry

Также подражатель не применяет для распространения эксплоиты ETERNALBLUE и DOUBLEPULSAR, а их можно назвать «визитной карточкой» оригинального WannaCry. Фактически, сходство с WannaCry начинается и заканчивается на GUI нового шифровальщика. Кстати, в отличие от многих других подделок под WannaCry, данная малварь действительно работает и «умеет» шифровать файлы.

Внимание исследователя привлек и еще один небезынтересный нюанс. Изучая поступившие на VirusTotal образчики поддельного WannaCry, специалист заметил упоминание продукции компании M.E.Doc (см. скриншот ниже). Это название в последние дни часто встречается на страницах СМИ и в отчетах экспертов.

В нашем обзоре ситуации, сложившейся вокруг Petya, мы уже писали о том, что еще 27 июня 2017 года украинская киберполиция сообщила, что по предварительным данным, шифровальщик Petya распространился на территории Украины так быстро и масштабно «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco TalosMicrosoft и «Лаборатории Касперского».

Эксперты предположили, что именно M.E.Doc был «нулевым пациентом» и распространял Petya, так как вредонос применяет эксплоиты АНБ, переработанный опенсорсный инструмент Minikatz, а также WMI и PSEXEC для распространения внутри локальных сетей.

При этом 27 июня 2017 года на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре пропало с сайта и теперь доступно только в кеше Google. Вечером того же дня представители M.E.Doc опубликовали на своей странице в Facebook официальное сообщение,  в котором категорически опровергли свою причастность к распространению Petya.

Теперь MalwareHunter заметил, что один из компонентов подражателя WannaCry скрывается по адресу C://ProgramData//MedocIS//MedocIS//ed.exe. После этого исследователь предположил, что компания ответственна за распространение не одного вредоноса.

Страница M.E.Doc в Facebook в последние дни изобилует опровержениями. Компания продолжает утверждать, что не имеет никакого отношения к распространению Petya и привлекла к расследованию происходящего правоохранительные органы и специалистов Cisco, тогда как пользователи задают разработчикам вполне здравые вопросы:

Более того, вечером 29 июня 2017 года компания сообщила, что в связи с появлением информации о второй волне заражения, M.E.Doc временно отключает возможность автоматической загрузки обновлений. Согласно официальному заявлению, это было сделано исключительно ради того, чтобы избежать «появления новых спекуляций», а не из-за того что компания решила признать факт компрометации.

Так выглядела главная страница сайта M.E.Doc на момент написания этого материала

MalwareHunter и журналисты Bleeping Computer резюмируют, что все шифровальщики, атаковавшие Украину в последнее время, имеют схожий «почерк». Так, XData был основан на украденных исходных кодах вымогателя AES-NI, PSCrypt базировался на исходных кодах GlobeImposter, а NotPetya является сильно переработанной версией Petya 2016 года. Новая угроза, в свою очередь, маскируется под WannaCry.

Учитывая, что в двух случаях из четырех также фигурирует компания M.E.Doc (возможно, даже в трех случаях, так как XData, вероятно, тоже был связан с бухгалтерским ПО M.E.Doc), исследователи пишут, что происходящее больше похоже на спланированную операцию «правительственных хакеров», нежели на цепь случайных совпадений. Впрочем, пока эксперты лишь строят теории о том, на каких именно «правительственных хакерах» может лежать ответственность за происходящее, так как речи о каких-либо уликах и доказательствах пока не идет.

Фото: Bleepingcomputer, ESET, Verge  

2 комментария

  1. Themistocles

    02.07.2017 at 19:32

    Какая-то каша. Выглядит как wannacry, но шифрует файлы. И дальше снова про медок. О чем новость то?

  2. hlt

    03.07.2017 at 21:34

    как вам такой вариант —
    1. правительство блокирует вконтакт и проч
    2. ушлые чуваки раскручивают свои ВПНы и прокси для ВК.
    3. ничего не подозревающие юзера качают обновления через эти каналы
    4. вуаля

    Кстати, под ушлыми чуваками — может быть и само укр правительство: некоторые тулзы появились заметно быстро (при всей внезапности блокировки), а некоторые IP проксей были зареганы всего за две недели до блокировки (как знали!)

Оставить мнение