「made in China」最強背鍋，勒索軟體FakeCry「各種冒牌」有何目的？

E安全7月9日訊卡巴斯基實驗室指出，NotPetya並不是上周唯一利用M.E.Doc更新機制感染目標的惡意軟體：山寨版WannaCry勒索軟體利用同樣的渠道進行傳播。

「冒牌」得「有模有樣」

6月27日感染M.E.Doc用戶的勒索軟體被稱為「FakeCry」，也就是NotPetya爆發當天。卡巴斯基表示，FakeCry通過父進程ezvit.exe在M.E.Doc目錄中作為ed.exe運行，也就是說，這款勒索軟體的傳遞機制與NotPetya一致。

FakeCry用.Net編寫，並使用了「WNCRY」字元串，顯然是想跟WannaCry沾邊，同樣，其中還存在一個「被遺忘」的PDB路徑。

中國躺槍

FakeCry還偽裝自己是「中國製造」，但這種冒充行為被研究人員識破。

上個月，一些安全研究人員認為，WannaCry的幕後黑手是朝鮮黑客，而也有專家認為，WannaCry不是朝鮮黑客的風格。Flashpoint公司對28封WannaCry勒索信進行語言分析後認為，攻擊者中文流利，似乎還懂英文。

WannaCry通過「永恆之藍」（EternalBlue）Windows漏洞利用進行傳播，而FakeCry使用丟棄器（Dropper），其作為wc.exe在磁碟保存。該Dropper可以執行幾種命令：

• 丟棄勒索軟體組件；

• 開始加密，

• 開始解密；

• 密鑰（加密公共密鑰和機密私鑰）；

• 演示（藉助硬編碼RSA密鑰加密或解密）。

另一方面，這款勒索軟體的組件能生成RSA-2048密鑰對，加密/解密文件，加密/解密磁，盤，並刪除被感染設備上的卷影副本（Shadow Copy）。執行時，這款惡意軟體首先會刪除卷影副本，之後初始化密鑰，創建加密文件列表，處理加密文件，並顯示勒索窗口。

冒牌貨可加密170餘種文件類型

研究人員表示，FakeCry可以加密大約170種文件類型。如果使用具有針對性的文件，攻擊者還可以殺死進程，解鎖文件。這款軟體使用Handler Viewer Sysinternals工具完成任務。FakeCry還包含僅含有圖像文件（jpg、jpeg、png、tif、gif和bmp）的擴展列表，攻擊者可利用該列表免費解密。

FakeCry的勒索信與WannaCry類似。FakeCry索要的贖金為0.1比特幣（約1042元），並在所有感染中使用相同的錢包號碼（迄今為止，此錢包收到7筆贖金）。這款勒索軟體使用Tor命令與控制伺服器。

還會不會有別的FakeCry？

卡巴斯基指出，ExPetr/Petya不是唯一通過MeDoc更新傳播的惡意軟體。與此同時，另一勒索軟體FakeCry也在感染MeDoc用戶。約90個被攻擊的組織機構收到了FakeCry勒索軟體，這些組合機構幾乎均位於烏克蘭。

烏克蘭當局本周宣布突擊調查了M.E.Doc伺服器，他們擔心NotPetya背後的網路犯罪分子仍在使用這些資源。烏克蘭官員發布官方公告建議，用戶關閉所有運行M.E.Doc軟體的電腦，及時修改密碼和電子數字簽名。

考慮到這兩款惡意軟體家族同時通過相同的媒介感染目標，這表明，這兩起活動可能有關聯。但是，安全研究人員尚未明確將兩者關聯起來。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！