27 июня текущего года Украина была атакована вымогательской программой Petya.A. Однако в этот же день была проведена еще одна атака с применением другой вымогательской программы, которую практически не заметили ИБ-эксперты.
Распространение Petya.A осуществлялось, прежде всего, посредством инфицированного бэкдором обновления для украинской бухгалтерской программы «M.e.doc». Однако, по словам экспертов «Лаборатории Касперского», Petya.A – не единственная вымогательская программа, действовавшая таким образом. Так, специалисты сообщают, что в программной папке «M.e.doc» находилась дополнительная вредоносная программа в виде файла ed.exe, запускаемого компонентом «M.e.doc» – ezvit.exe.
Дополнительное ПО в действительности является программой-вымогателем, созданной посредством платформы .NET Framework и содержащей в коде строку WNCRY, которая явно отсылает к WannaCry. Так как вредоносная программа копирует WannaCry, эксперты присвоили ей название FakeCry.
FakeCry может шифровать файлы даже при их блокировке другим процессом. Программа прерывает процесс и, используя утилиту Sysinternals (Handler Viewer), завершает собственную задачу. Стоит отметить, что вредоносная программа ради рекламных целей осуществляет расшифровку графических файлов (bmp, gif, jpg, jpeg, png и tif). Для того, чтобы восстановить остальные файлы пользователь должен заплатить 0,1 биткоина (около 260 долларов).