卡巴斯基實驗室指出，NotPetya并不是上周唯一利用M.E.Doc更新機制感染目標的惡意軟件：山寨版WannaCry勒索軟件利用同樣的渠道進行傳播。

“冒牌”得“有模有樣”

6月27日感染M.E.Doc用戶的勒索軟件被稱為“FakeCry”，也就是NotPetya爆發當天?？ò退够硎?，FakeCry通過父進程ezvit.exe在M.E.Doc目錄中作為ed.exe運行，也就是說，這款勒索軟件的傳遞機制與NotPetya一致。

“made in China”最強背鍋,勒索軟件FakeCry“各種冒牌”有何目的?-E安全

FakeCry用.Net編寫，并使用了“WNCRY”字符串，顯然是想跟WannaCry沾邊，同樣，其中還存在一個“被遺忘”的PDB路徑。

中國躺槍

FakeCry還偽裝自己是“中國制造”，但這種冒充行為被研究人員識破。

上個月，一些安全研究人員認為，WannaCry的幕后黑手是朝鮮黑客，而也有專家認為，WannaCry不是朝鮮黑客的風格。Flashpoint公司對28封WannaCry勒索信進行語言分析后認為，攻擊者中文流利，似乎還懂英文。

WannaCry通過“永恒之藍”(EternalBlue)Windows漏洞利用進行傳播，而FakeCry使用丟棄器(Dropper)，其作為wc.exe在磁盤保存。該Dropper可以執行幾種命令：

丟棄勒索軟件組件;

開始加密，

開始解密;

密鑰(加密公共密鑰和機密私鑰);

演示(借助硬編碼RSA密鑰加密或解密)。

另一方面，這款勒索軟件的組件能生成RSA-2048密鑰對，加密/解密文件，加密/解密磁，盤，并刪除被感染設備上的卷影副本(Shadow Copy)。執行時，這款惡意軟件首先會刪除卷影副本，之后初始化密鑰，創建加密文件列表，處理加密文件，并顯示勒索窗口。

冒牌貨可加密170余種文件類型

研究人員表示，FakeCry可以加密大約170種文件類型。如果使用具有針對性的文件，攻擊者還可以殺死進程，解鎖文件。這款軟件使用Handler Viewer Sysinternals工具完成任務。FakeCry還包含僅含有圖像文件(jpg、jpeg、png、tif、gif和bmp)的擴展列表，攻擊者可利用該列表免費解密。

FakeCry的勒索信與WannaCry類似。FakeCry索要的贖金為0.1比特幣(約1042元)，并在所有感染中使用相同的錢包號碼(迄今為止，此錢包收到7筆贖金)。這款勒索軟件使用Tor命令與控制服務器。

還會不會有別的FakeCry?

卡巴斯基指出，ExPetr/Petya不是唯一通過MeDoc更新傳播的惡意軟件。與此同時，另一勒索軟件FakeCry也在感染MeDoc用戶。約90個被攻擊的組織機構收到了FakeCry勒索軟件，這些組合機構幾乎均位于烏克蘭。

烏克蘭當局本周宣布突擊調查了M.E.Doc服務器，他們擔心NotPetya背后的網絡犯罪分子仍在使用這些資源。烏克蘭官員發布官方公告建議，用戶關閉所有運行M.E.Doc軟件的電腦，及時修改密碼和電子數字簽名。

考慮到這兩款惡意軟件家族同時通過相同的媒介感染目標，這表明，這兩起活動可能有關聯。但是，安全研究人員尚未明確將兩者關聯起來。