{
	"id": "2a904b11-81d3-40c6-893b-e6ae7df9f5b4",
	"created_at": "2026-04-06T00:06:57.09174Z",
	"updated_at": "2026-04-10T03:20:48.531134Z",
	"deleted_at": null,
	"sha1_hash": "d1f6c67166d5a514d84c12cb03584bf95065ed3f",
	"title": "WhisperKill vs WhiteBlackCrypt: un petit soucis de fichiers…",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 823946,
	"plain_text": "WhisperKill vs WhiteBlackCrypt: un petit soucis de fichiers…\r\nBy Sebdraven\r\nPublished: 2022-02-01 · Archived: 2026-04-05 22:35:13 UTC\r\n2 min read\r\nJan 31, 2022\r\nFin de semaine dernière, le CERT UA publie un article détaillant que WhisperKill utilisé pour détruire les disques\r\nlors de l’attaque du #WhisperGate de ses victimes serait un copy cat de WhiteBlackCrypt.\r\navec une similarité des fonctions de 91 %\r\nPress enter or click to view image in full size\r\nLe soucis est quand on reprend les mêmes hashes que l’étude et qu’on refait l’expérience, nous tombons à 28 %.\r\nPress enter or click to view image in full size\r\nhttps://sebdraven.medium.com/whisperkill-vs-whiteblackcrypt-un-petit-soucis-de-fichiers-9c4dcd013316\r\nPage 1 of 5\n\nla similarité sur la fonction isDirectory est forcée, car si l’on fait une recherche sur le masque utilisé:\r\n(local_2a \u0026 0xf000) == 0x4000;\r\nGet Sebdraven’s stories in your inbox\r\nJoin Medium for free to get updates from this writer.\r\nRemember me for faster sign in\r\nIl y a beaucoup de codes source qui l’utilisent. Donc en terme de discriminant, ce n’est pas suffisant.\r\nIl n’y a vraiment qu’une similarité intéressante, c’est la fonction de destruction/chiffrement. Mais idem, les\r\nmécanismes restent proche d’un ransomware.\r\nPress enter or click to view image in full size\r\nhttps://sebdraven.medium.com/whisperkill-vs-whiteblackcrypt-un-petit-soucis-de-fichiers-9c4dcd013316\r\nPage 2 of 5\n\nAprès avoir contacté le CERT UA, les hashes qui ont été publiés ne sont pas les bons.\r\nhttps://twitter.com/_CERT_UA/status/1488138913818554372?s=20\u0026t=wl6hKRIEhc-zgVd50q6bxw\r\nLorsque l’on refait les expériences du papier avec ceux cités ci-dessus, nous nous retrouvons bien avec les bonnes\r\nvaleurs et les bonnes fonctions\r\nPress enter or click to view image in full size\r\nhttps://sebdraven.medium.com/whisperkill-vs-whiteblackcrypt-un-petit-soucis-de-fichiers-9c4dcd013316\r\nPage 3 of 5\n\nEncrypt3D_DestroyRecursive\r\nhttps://sebdraven.medium.com/whisperkill-vs-whiteblackcrypt-un-petit-soucis-de-fichiers-9c4dcd013316\r\nPage 4 of 5\n\nWhisperKill_DestroyRecursive\r\nIl y a donc une vrai tentative de copycat pour ce virus dont le but est de reprendre la structure et les\r\nfonctionnalités.\r\nPar ailleurs, beaucoup d’articles ont été publiés avec la première version des hashes sans vérification. Ce qui est\r\ndommageable quand cela vient d’équipe de Threat Intelligence ou d’analyse de malware.\r\nSource: https://sebdraven.medium.com/whisperkill-vs-whiteblackcrypt-un-petit-soucis-de-fichiers-9c4dcd013316\r\nhttps://sebdraven.medium.com/whisperkill-vs-whiteblackcrypt-un-petit-soucis-de-fichiers-9c4dcd013316\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://sebdraven.medium.com/whisperkill-vs-whiteblackcrypt-un-petit-soucis-de-fichiers-9c4dcd013316"
	],
	"report_names": [
		"whisperkill-vs-whiteblackcrypt-un-petit-soucis-de-fichiers-9c4dcd013316"
	],
	"threat_actors": [],
	"ts_created_at": 1775434017,
	"ts_updated_at": 1775791248,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d1f6c67166d5a514d84c12cb03584bf95065ed3f.pdf",
		"text": "https://archive.orkl.eu/d1f6c67166d5a514d84c12cb03584bf95065ed3f.txt",
		"img": "https://archive.orkl.eu/d1f6c67166d5a514d84c12cb03584bf95065ed3f.jpg"
	}
}