Создателем WannaCry может быть корейский фанат Лионеля Месси

Никто не знает, кто же был разработчиком вредоносного программного обеспечения под названием WannaCry. Многие до сих пор ломают головы. Symantec и исследователи из Лаборатории Касперского привязывают вредоноса к Северной Корее и киберпреступной группе Lazarus (руководствуясь исходниками) а Flashpoint предполагают, что разработчик был китайцем, так как только китайский язык был наиболее полно и красиво записан, а остальные версии, в том числе и корейская, были «копипастом» и с ошибками.

Попытку исследования следов, оставленных разработчиком вредоносного программного обеспечения, провели исследователи из Eleven Paths, корпорации из Испании Telefonica, которая тоже была потерпевшей от вирусописателя. Исследования эксперты провели на базе анализа метаинформации.

Как говорит руководитель Eleven Paths по имени Сержио де лос Сантоса, разработчик WannaCry даже не предполагает, как сильно его «палят» метазаголовки. Например, в поле разработчика и оператора в файле RTF, который прикреплен к окну запроса, указано Messi, а это явно говорит о том, что разработчик его любит.

Разработчик говорит на корейском, сказали исследователи, так как этот язык был выбран по дефолту в Word, который был использован для создания файла RTF. Коверкание корейского скорее всего является попыткой обфускации местоположения автора, так как если хочешь скрыть, откуда ты — пиши как иностранец. Но разработчик забыл скрыть язык по дефолту, и это было ошибкой, сказал Сантос.

На основании этих заголовков эксперты смогли понять, как началась атака. Как они говорят, двадцать седьмого апреля было создано изображение для фона и readme. Девятого мая был создан файл ZIP с утилитами для соединения с сетью Tor для платежа. Данный файл был добавлен в систему девятого мая в пять вечера по часовому поясу, где был хакер. Затем на следующие сутки преступник создал onion домен и кошелек в криптовалюте биткоин.

Одиннадцатого числа преступник модифицировал изображение на рабочий стол и добавил файлы в архив. Двенадцатого числа в два ночи он добавил вредоноса в архив и запустил атаку.

Заметили опечатку или ошибку? Выделите текст и нажмите Ctrl+Enter, чтобы сообщить нам о ней.

Материалы партнеров:

Читайте другие новости: