Hírhedt elődje van a DearCry zsarolóprogramnak

​A DearCry zsarolóprogram is részese lett az Exchange kiszolgálók elleni támadásoknak.
 

A Sophos közzétett egy elemzést a DearCry zsarolóvírusról, amelyben a kártékony program néhány érdekes vonására hívta fel a figyelmet. Ezek közül a legfontosabb, hogy a DearCry több szempontból is hasonlóságot mutat a WannaCry zsarolóvírussal. Így például hasonló módon manipulálják a titkosított állományok fájlneveit, és a kompromittált állományokat azonos módon jelölik meg. Emellett mindkét kártevő úgynevezett "copy encryption" technikát használ, de azért, hogy a helyreállítást megnehezítsék, az eredeti fájlokat nem csupán törlik, hanem előtte felül is írják azokat.
 

"A DearCry zsarolóvírus mintáin végzett elemzések során egy ritka, titkosításos támadási stratégiára bukkantunk: egy "hibrid" megközelítésre. Az egyetlen másik vírus, amelyet az évek során vizsgáltam, és ezt a hibrid módszert használta, a WannaCry volt"

- nyilatkozta Mark Loman, a Sophos zsarolóvírus szakértője.
 
Nem mindenben van hasonlóság
 
A DearCry és a WannaCry azért nem teljesen egyformák. A DearCry nem használ vezérlőszervert, beépített RSA titkosítási kulcsa van, nem jelenít meg időzítővel ellátott felhasználói felületet, és nem terjeszti a saját kódjait a helyi hálózatban található rendszerek között.
 
A biztonsági cég szerint a DearCry készítői minden új áldozat számára külön verziót állíthattak volna össze, de végül nem használták ki ezt a lehetőséget. Ugyanakkor a kompromittálandó fájltípusok listáját folyamatosan bővítették, így a szerzeményük mind több állományt tett használhatatlanná.
 
Jelenleg az a legvalószínűbb, hogy a DearCry még "csak" egy prototípus, amit próbálgatnak a vírusírók. A gyors felbukkanásának pedig az lehet az oka, hogy a Microsoft Exchange kiszolgálók hibáinak napvilágra kerülését követően gyorsan szükségük volt a kiberbűnözőknek egy olyan károkozóra, amelyet a sérülékeny levelezőszerverek ellen be tudtak vetni.