Վնասաբեր ծրագրերի HermeticRansom-HermeticWiper զույգն օգտագործվել է Ուկրաինայի վրա կիբեռգրոհներում
«Կասպերսկի» ընկերության հետազոտողները վերլուծել են HermeticRansom վնասաբեր ծրագիրը, որը հայտնի է նաև որպես Elections GoRansom՝ պարզելով, որ մեծ հաշվով դա բավականին պարզ ծածկագրիչ է: Նրանց կարծիքով՝ գրոհողներն այն կիրառել են ուշադրություն շեղելու նպատակով։
«HermeticRansom-ը գրոհել է համակարգիչները մեկ այլ՝ տվյալները ջնջող վնասաբեր ծրագրի հետ միաժամանակ, որը հայտնի է որպես HermeticWiper, և, դատելով տեղեկատվական անվտանգության փորձագետների հանրակցության հավաքած տեղեկատվությունից, օգտագործվել է Ուկրաինայում վերջերս իրականացված կիբեռգրոհներում։ Վնասաբեր ծրագրի համեմատական պարզությունն ու ոչ ամենաարդյունավետ իրագործումը վկայում են այն մասին, որ HermeticRansom-ը կիրառել են որպես HermeticWiper-ի գրոհների «ծխածածկույթ»,- նշում են ընկերության փորձագետները:
Նրանք պարզաբանում են, որ տուժողի համակարգչում հայտնվելով՝ HermeticRansom-ը սկզբում նույնականացնում է կոշտ սկավառակները և հավաքում դիրեկտորիաների և ֆայլերի ցանկը, որոնք տեղակայված են ամենուր, բացի Windows և Program Files սկզբնական պանակներից: Այնուհետև այն ծածկագրում է որոշակի կատեգորիաների ֆայլերը և վերանվանում դրանք՝ անվանումներին կցելով .encrypted նշանը ու շորթողների փոստային հասցեն։ Վնասաբեր ծրագիրը նաև Desktop պանակում ստեղծում է read_me.html ֆայլը՝ փրկագնման և գրոհողների կոնտակտների մասին գրությամբ։
HermeticRansom-ը գրված է Golang լեզվով: Դրա մեջ չի օգտագործվում օբֆուսկացման (կոդը խճճելու) ոչ մի մեխանիզմ, իսկ բուն ծածկագրման կիրառված մեթոդը բավական ծանրաշարժ է և քիչ արդյունավետ։ Ինչպես կարծում են փորձագետները, դատելով այս և մի շարք այլ հայտանիշներից՝ վնասաբեր ծրագիրը ստեղծվել է հապշտապ:
Վնասաբեր ծրագրի ավելի մանրամասն տեխնիկական վերլուծությունը կարելի է կարդալ այստեղ՝ https://securelist.com/elections-goransom-and-hermeticwiper-attack/105960/։