Исследователи «Лаборатории Касперского» проанализировали пару зловредов HermeticRansom-HermeticWiper
Исследователи «Лаборатории Касперского» проанализировали зловред HermeticRansom, известный также как Elections GoRansom, выяснив, что по большому счету, это достаточно несложный шифровальщик. По их мнению, атакующие применяли его с целью проведения отвлекающего маневра.
«HermeticRansom атаковал компьютеры одновременно с другим стирающим данные зловредом, известным как HermeticWiper — и судя по информации, собранной сообществом экспертов информационной безопасности, использовался в недавних кибератаках на Украине. Сравнительная простота и не самая эффективная имплементация зловреда говорит о том, что HermeticRansom применяли в качестве «дымовой завесы» для атак HermeticWiper»,- отмечают эксперты компании.
Они поясняют, что, попав на компьютер жертвы, HermeticRansom для начала идентифицирует жесткие диски и собирает список директорий и файлов, расположенных везде, кроме корневых папок Windows и Program Files. Затем он шифрует файлы определенных категорий и переименовывает их, присоединяя к названию метку .encrypted и почтовый адрес вымогателей.
Также зловред создает в папке Desktop файл read_me.html с запиской о выкупе и контактами злоумышленников.
HermeticRansom написан на языке Golang. В нем не используются никакие механизмы обфускации, а сам применяемый метод шифрования достаточно громоздок и малоэффективен. Как считают эксперты, судя по этим и некоторым другим признакам, зловред создавался в спешке.
Более подробный технический разбор зловреда можно прочитать здесь.