WhisperKill vs WhiteBlackCrypt: un petit soucis de fichiers…

Sebdraven
2 min readJan 31, 2022

Fin de semaine dernière, le CERT UA publie un article détaillant que WhisperKill utilisé pour détruire les disques lors de l’attaque du #WhisperGate de ses victimes serait un copy cat de WhiteBlackCrypt.

avec une similarité des fonctions de 91 %

Le soucis est quand on reprend les mêmes hashes que l’étude et qu’on refait l’expérience, nous tombons à 28 %.

la similarité sur la fonction isDirectory est forcée, car si l’on fait une recherche sur le masque utilisé:

(local_2a & 0xf000) == 0x4000;

Il y a beaucoup de codes source qui l’utilisent. Donc en terme de discriminant, ce n’est pas suffisant.

Il n’y a vraiment qu’une similarité intéressante, c’est la fonction de destruction/chiffrement. Mais idem, les mécanismes restent proche d’un ransomware.

Après avoir contacté le CERT UA, les hashes qui ont été publiés ne sont pas les bons. https://twitter.com/_CERT_UA/status/1488138913818554372?s=20&t=wl6hKRIEhc-zgVd50q6bxw

Lorsque l’on refait les expériences du papier avec ceux cités ci-dessus, nous nous retrouvons bien avec les bonnes valeurs et les bonnes fonctions

Encrypt3D_DestroyRecursive
WhisperKill_DestroyRecursive

Il y a donc une vrai tentative de copycat pour ce virus dont le but est de reprendre la structure et les fonctionnalités.

Par ailleurs, beaucoup d’articles ont été publiés avec la première version des hashes sans vérification. Ce qui est dommageable quand cela vient d’équipe de Threat Intelligence ou d’analyse de malware.

--

--

Sebdraven

Malwarist,Threat Huntist and pythonist / core dev of #yeti/ member of @ProjectHoneynet / co-organizer #BotConf / researcher