Хакер #305. Многошаговые SQL-инъекции
Месяц назад «Лаборатория Касперского» обнаружила первый в истории троян-шифровальщик под Android (да и вообще, первую программу такого класса для мобильных устройств). Как и на обычных компьютерах, шифровальщик берёт в «заложники» файлы, шифрует их и требует от пользователя «выкуп». После оплаты программа обещает предоставить ключ расшифровки.
«Лаборатория Касперского» сообщает, что троян поступил в продажу на подпольных форумах в середине мая по цене $5000, а к настоящему времени зарегистрировано более 30 его вариантов. Почти все они распространяются в русскоязычных странах. «ЛК» классифицирует оригинальную версию как Trojan-Ransom.AndroidOS.Pletor.a, западные компании называют его Simplocker.
Уникальный в своём роде троян заинтересовал и западных специалистов. 4 июня результаты реверс-инжиниринга программы опубликовала антивирусная компания ESET. Дальше за дело взялись независимые любители криптографии, в том числе английский студент Саймон Белл. Ему удалось обнаружить то, что не увидели профессиональные эксперты из антивирусных компаний. Он преобразовал APK в JAR — и среди файлов нашёл класс AesCrypt, отвечающий за шифрование и дешифрование. Там же в качестве константы был прописан пароль “jndlasf074hr”. Саймон проверил и убедился, что пароль используется как при шифровании, так и при дешифровании файлов.
В помощь жертвам заражения студент написал Java-программу, которая дешифрует файлы на инфицированном устройстве.
Одновременно в каталоге Google Play появилась приложение avast! Ransomware Removal от компании Avast. Оно делает то же самое. Установить его на телефон, как и другие приложения из каталога Google Play, можно в удалённом режиме, зайдя в аккаунт Google с другого компьютера. Кроме шифрования файлов, оно ещё и автоматически удаляет троян.