Зловещий ExPetr, поставивший на колени несколько весьма солидных учреждений, продолжает преподносить [сюрпризы][1]. Наши аналитики из команды GReAT [обнаружили][2] его родство со стирателем, атаковавшим пару лет назад украинские электростанции в рамках кампании BlackEnergy.

Конечно, откровенного использования кусков кода в ExPetr не наблюдается, авторы постарались не спалиться. Но программистский почерк так просто не замаскируешь.

Сначала аналитики сравнили списки расширений шифруемых файлов. На первый взгляд не очень похоже – BlackEnergy работал со значительно большим разнообразием файлов, – но если приглядеться, сходство все-таки есть. Типов расширений существует множество, и из них можно собрать бесконечное число разных списков, а тут налицо явные пересечения по составу и форматированию.
[Читать дальше →][3]

[1]: https://threatpost.com/researchers-find-blackenergy-apt-links-in-expetr-code/126662/
[2]: https://securelist.com/from-blackenergy-to-expetr/78937/
[3]: https://habrahabr.ru/post/332646/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut