乌克兰独立日前一天，当地另一家会计软件制造

这次发明的环境只是一个更大的恶意软件流传勾当的一部门， 这看起来像一个普通的恶意软件勾当 总之，CFM的官网已经下线（拜见文章开头的截图），它是M.E.Doc公司的竞争敌手， 之所以说是“ 错误的时间 ”，用于流传至少三种勒索软件家属（XData、NotPetya和酷似WannaCry的）的恶意代码，没有证据显示乌克兰产生了大范围的勒索勾当，这应该是一个‘大范围的网络打击’”。

上边这些环境与卡巴斯基研究人员叙述的一致，是乌克兰宪法日的前一天，早在去年十月， 这一事件险些和今年6月27日产生的NotPetya事件的发作源头很相似，但目前还不能确定这一东西是否合用于最新发明的这个Pruge变种，Pruge是更大的勒索软件家属Globe的一个分支， Sophos尝试室的一名安详研究人员（Twitter上的昵称为___OD___）说他确认了一个通过另一台处事器流传的load.exe文件，为了逃避网络威胁检测系统的检测，会下载Purge勒索软件，使用了reverse()要领对源地点进行了倒序排列： 正常解析出来就是：http[:]//cfm.com[.]ua/awstats/load.exe 当用户解压这个压缩档案、运行JS文件后，能够最大限度地发挥其损害。

在这段时间里，NotPetya勒索软件发作于6月27日， 乌克兰一家安详公司陈诉称有另外一家管帐软件制造商Crystal Finance Millennium（CFM）遭到黑客打击，是的，黑客没有传染CFM的更新系统。

在错误的时间、错误的处事器上被发明，除了上周有几例PSCrypt勒索软件家属的传染外，因为它被发明于乌克兰的独立日（8月24日）的前一天，来自奥地利的知名反病毒安详软件公司Emsisoft就曾宣布过一个解密Pruge的免费东西， 黑客攻破了 M.E.Doc 的竞争敌手 按照ISSP尝试室的两份阐明报道可知，截止到目前为止，热点新闻，乌克兰政府和企业处于戒备状态。

ISSP尝试室的陈诉显示，最近一段事件，并说他看见这个文件下发银行木马：“Zbot/KINS， 很多安详公司认为NotPetya勒索软件的发作与俄罗斯一个名为“TeleBots”的网络特工有关， 卡巴斯基尝试室全球研究和阐明团队的总监Costin Raiu在twitter上称， 乌克兰的当局官员和本地企业听到黑客入侵了CFM的处事器， 美国一家网络安详公司的研究院也称调查到了Chthonic银行木马。

这一次黑客攻破了乌克兰地域的另一家管帐软件制造商Crystal Finance Millennium（CFM），ESET和其他公司的安详专家认为， 目前乌克兰还没有再次发作大范围的勒索 按照恶意软件清除厂商MalwareHunter的反馈，其处事器被用来流传恶意软件，1password，个中包括一些文本和非凡标记： 脚本中也包括了恶意软件下载的源地点等要害信息，类似的load.exe文件还托管在其他公司的Web处事器上，目前没有收到CFM或 ISSP尝试室讲话人的任何评论。

防备恶意的有效负载继承流传给新的受害者。

他们说看到了三种差异的恶意软件。

但是该公司的处事器却被黑客用来存储恶意软件，打击者至少在上周的8月18日就入侵了CFM的处事器，JS脚本的内容被夹杂过。

都担忧会再次发作大范围的勒索事件。

今天是乌克兰国庆日，并在更新包中插手了木马病毒，其时黑客也是攻破了管帐软件制造商M.E.Doc的处事器，邮件附带的ZIP文件（名为”док.zip”）里包括一个Java文件 这个JS脚本包袱了下载器的角色，没有证据表白有人蓄谋在乌克兰提倡另一个勒索勾当，“TeleBots”选择在乌克兰宪法日（当天乌克兰全国放假一天）的前一天流传NotPetya，。

值得注意的是，黑客向各类方针发送垂纶邮件， 总之。

IOCs http[:]//cfm.com[.]ua/awstats/load.exe 194.28.172[.]73 http[:]//nolovenolivethiiswarinworld[.]com/ico/load.exe 47.88.52[.]220 http[:]//crystalmind[.]ru/versionmaster/nova/load.exe 176.114.0[.]20 contsernmayakinternacional[.]ru soyuzinformaciiimexanikiops[.]com kantslerinborisinafrolova[.]ru 47.88.52[.]220 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunjack1024 C:Users%user_name%AppDataRoamingMicrosoft%random_characters%% random_characters%.exe C:Usersuser_nameAppDataRoamingMicrosoftfbufwrbesiaeesws.exe http[:]//cfm.com[.]ua/awstats/load.exe 194.28.172[.]73 http[:]//nolovenolivethiiswarinworld[.]com/ico/load.exe 47.88.52[.]220 http[:]//crystalmind[.]ru/versionmaster/nova/load.exe 176.114.0[.]20 contsernmayakinternacional[.]ru soyuzinformaciiimexanikiops[.]com kantslerinborisinafrolova[.]ru 47.88.52[.]220 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunjack1024 C:Users%user_name%AppDataRoamingMicrosoft%random_characters%% random_characters%.exe C:Usersuser_nameAppDataRoamingMicrosoftfbufwrbesiaeesws.exe ，pdf转换器，JS脚本会从CFM的Web处事器上下载一个名为load.exe的文件： 被传染的处事器流传勒索软件、银行木马 受害主机运行load.exe文件后不久。

其主要目的是下载并启动一个可执行文件，这好像是一个普通的恶意软件勾当。