Пара зловредов HermeticRansom-HermeticWiper использовалась в кибератаках на Украине
09-03-2022 11:27:20 | Армения | Новости науки и технологии
Представительство «Лаборатории Касперского» в Армении. Исследователи «Лаборатории Касперского» проанализировали зловред HermeticRansom, известный также как Elections GoRansom, выяснив, что по большому счету, это достаточно несложный шифровальщик. По их мнению, атакующие применяли его с целью проведения отвлекающего маневра.
«HermeticRansom атаковал компьютеры одновременно с другим стирающим данные зловредом, известным как HermeticWiper — и судя по информации, собранной сообществом экспертов информационной безопасности, использовался в недавних кибератаках на Украине. Сравнительная простота и не самая эффективная имплементация зловреда говорит о том, что HermeticRansom применяли в качестве «дымовой завесы» для атак HermeticWiper»,- отмечают эксперты компании.
Они поясняют, что, попав на компьютер жертвы, HermeticRansom для начала идентифицирует жесткие диски и собирает список директорий и файлов, расположенных везде, кроме корневых папок Windows и Program Files. Затем он шифрует файлы определенных категорий и переименовывает их, присоединяя к названию метку .encrypted и почтовый адрес вымогателей. Также зловред создает в папке Desktop файл read_me.html с запиской о выкупе и контактами злоумышленников.
HermeticRansom написан на языке Golang. В нем не используются никакие механизмы обфускации, а сам применяемый метод шифрования достаточно громоздок и малоэффективен. Как считают эксперты, судя по этим и некоторым другим признакам, зловред создавался в спешке.
Более подробный технический разбор зловреда можно прочитать здесь – https://securelist.com/elections-goransom-and-hermeticwiper-attack/105960/.
Представительство компании «Лаборатория Касперского» в Армении
РУССКИЙ 
Հայերեն
English
Դաս. հայերեն
French
