据外媒 ZDNet 报道，网络安全公司 ESET 的恶意软件分析人员最近发现了实质性证据，证明针对乌克兰电网的网络攻击和 2017 年 6 月爆发的 NotPetya 勒索软件背后是同一组织。 这两者之间并不是直接联系，而是研究人员在今年 4 月一次黑客攻击中通过名叫 Exaramel 的恶意软件发现的。Exaramel 后门是从 Telebots 的服务器基础设施部署的，这也是 NotPetya 勒索软件所依赖的基础设施。...

例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统，要求支付 300 美元的赎金才能解密密钥。与此同时，NotPetya 加密了主引导记录，并要求以比特币作为赎金支付的主要形式。 10 月份，另一宗勒索软件活动 BadRabbit 震动了安全行业 ，这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中，攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害，其中乌克兰遭受了关键网络资产和基础设施的最大破坏。...

BlackEnergy 和 TeleBots 恶意宏代码的相似之处 系统感染 TeleBots 后，KillDisk 组件便会删除系统文件并将开机页面改为 Mr. Robot 的电视节目画面。

报告指出，KillDisk 本身并不存储这张图片，而是利用 Windows GDI 实时画出了这幅图。很显然，攻击者也是投入了大量精力在编写这段绘制图片的代码上。...