Помимо киберкампании Petya.A на минувшей неделе Украина стала жертвой вымогательской программы PSCrypt.
На данный момент о PSCrypt известно немного. Впервые эксперты обратили внимание на эту программу на минувшей неделе, когда появилось сообщение от MalwareHunterTeam о новой вымогательской программе, атакующей украинских пользователей.
В ходе анализа вредоносной программы, который провели исследователи Лоуренс Абрамс, Фабиан Восар и Майкл Гиллеспи, выяснилось, что PSCrypt создана на основе вымогательской программы GlobeImposter 2.0, активно действовавшей в прошлом году. GlobeImposter 2.0 атаковала пользователей из разных государств, в то время, как операторы PSCrypt были нацелены именно на Украину.
PSCrypt начала распространяться 21 июня. В сравнении с Petya.A киберкампания с применением Petya.A была не такой масштабной. Но эксперты называют очевидным намерение хакеров действовать против украинских пользователей, поскольку 78% пострадавших от PSCrypt проживают именно в этой стране.
Хакеры получали доступ к целевой системе, а затем осуществляли загрузку и запуск файлов wmodule.exe или wmodule.zip. Затем вредоносная программа шифровала файлы, которые хранятся на компьютере, добавляла к ним расширение .pscrypt, и загружала сообщение с требованием выкупа. Оно по умолчанию демонстрировалось на украинском языке, но в исходном коде программе также содержалась английская версия. Киберпреступники требовали выплатить выкуп в гривнах посредством платежных терминалов iBox, которые установлены лишь в украинских городах.