E安全7月9日讯 卡巴斯基实验室指出，NotPetya并不是上周唯一利用M.E.Doc更新机制感染目标的恶意软件：山寨版WannaCry勒索软件利用同样的渠道进行传播。

FakeCry用.Net编写，并使用了“WNCRY”字符串，显然是想跟WannaCry沾边，同样，其中还存在一个“被遗忘”的PDB路径。

FakeCry还伪装自己是“中国制造”，但这种冒充行为被研究人员识破。

上个月，一些安全研究人员认为，WannaCry的幕后黑手是朝鲜黑客，而也有专家认为，WannaCry不是朝鲜黑客的风格。Flashpoint公司对28封WannaCry勒索信进行语言分析后认为，攻击者中文流利，似乎还懂英文。

WannaCry通过“永恒之蓝”（EternalBlue）Windows漏洞利用进行传播，而FakeCry使用丢弃器（Dropper），其作为wc.exe在磁盘保存。该Dropper可以执行几种命令：

• 丢弃勒索软件组件；

• 开始加密，

• 开始解密；

• 密钥（加密公共密钥和机密私钥）；

• 演示（借助硬编码RSA密钥加密或解密）。

另一方面，这款勒索软件的组件能生成RSA-2048密钥对，加密/解密文件，加密/解密磁，盘，并删除被感染设备上的卷影副本（Shadow Copy）。执行时，这款恶意软件首先会删除卷影副本，之后初始化密钥，创建加密文件列表，处理加密文件，并显示勒索窗口。

研究人员表示，FakeCry可以加密大约170种文件类型。如果使用具有针对性的文件，攻击者还可以杀死进程，解锁文件。这款软件使用Handler Viewer Sysinternals工具完成任务。FakeCry还包含仅含有图像文件（jpg、jpeg、png、tif、gif和bmp）的扩展列表，攻击者可利用该列表免费解密。

FakeCry的勒索信与WannaCry类似。FakeCry索要的赎金为0.1比特币（约1042元），并在所有感染中使用相同的钱包号码（迄今为止，此钱包收到7笔赎金）。这款勒索软件使用Tor命令与控制服务器。

乌克兰当局本周宣布突击调查了M.E.Doc服务器，他们担心NotPetya背后的网络犯罪分子仍在使用这些资源。乌克兰官员发布官方公告建议，用户关闭所有运行M.E.Doc软件的电脑，及时修改密码和电子数字签名。

考虑到这两款恶意软件家族同时通过相同的媒介感染目标，这表明，这两起活动可能有关联。但是，安全研究人员尚未明确将两者关联起来。