Хакер #305. Многошаговые SQL-инъекции
Разработчик созданной в научных целях вымогательской малвари Hidden Tear обнаружил, что на базе его кода работает настоящий шифровальщик Ransom_Cryptear.B. Хотя настоящая малварь шифрует файлы жертв и выбрасывает при этом ключ шифрования, информацию пострадавших еще можно спасти. Исследователь утверждает, что смог взломать шифрование настоящего вредоноса и разобрался в проблеме.
Несколько дней назад специалисты компании Trend Micro обнаружили вымогательскую малварь Ransom_Cryptear.B, атакующую бразильских пользователей. Вирус заинтересовал экспертов, так как он базируется на исходном коде проекта Hidden Tear, созданного в образовательных и научных целях.
Автор Hidden Tear ранее писал в своем блоге, что Hidden Tear был ловушкой для скрипт-кидди, которые вместо написания собственного вымогателя решат позаимствовать код чужого. Эксперт уверял, что в коде Hidden Tear заложена уязвимость, которая позволит ему беспрепятственно расшифровать файлы потенциальных жертв (если до такого дойдет).
До создания настоящей малвари на базе Hidden Tear действительно дошло. Однако Ransom_Cryptear.B работает очень странно. Было не совсем ясно – допустили хакеры ошибку, или поступили так намеренно, но зашифровывая данные жертвы, Ransom_Cryptear.B попросту выбрасывает ключ шифрования, а не отправляет его на командный сервер. Специалисты Trend Micro предположили, что в такой ситуации любой бэкдор в коде Hidden Tear будет бесполезен, и данные пользователей утеряны навсегда.
Автор Hidden Tear, судя по всему, узнал о происходящем последним, но тут же подключился к работе над проблемой. Для начала он уведомил специалистов Trend Micro в Twitter, что он не «группа турецких исследователей Otko Sen». Он независимый исследователь из Турции и его зовут Ютку Сен (Utku Sen). Исследователь также попросил у сотрудников Trend Micro образец малвари и заметил, что, скорее всего, данные пострадавших пользователей по-прежнему можно спасти. Похоже, сами представители Trend Micro даже не пытались связаться с автором Hidden Tear ранее.
Anyway I believe I can decrypt it if @TrendMicro team send me the malware
— Utku Sen (@utku1337) January 14, 2016
Компания Trend Micro Сену не ответила, но образец Ransom_Cryptear.B ему прислал коллега-исследователь Йонатан Клийнсма (Yonathan Klijnsma).
Получив на руки образец, Сен выяснил, что за основу Ransom_Cryptear.B хакеры взяли Hidden Tear Offline Edition, то есть версию, которая не требует подключения к интернету. Это и стало корнем проблемы с ключами шифрования. Дело в том, что оффайновая версия программы создана для работы с портативными USB-накопителями. Ключ шифрования в данном случае тоже должен сохраняться на USB-накопителе. Именно поэтому малварь не отправляет ключи на командный сервер хакеров – у нее изначально не было такой функции.
Исследователь также заверил, что данные пострадавших пользователей можно восстановить, так как его бэкдор все-таки актуален. Данные о ключе шифрования можно собрать из временных отметок зашифрованных файлов, воссоздать ключ и восстановить данные. Сен пишет, что специалисты Trend Micro, судя по всему, даже не пытались нормально разобраться в проблеме и восстановить файлы.
«Все исходники моей малвари нарочно содержат бэкдоры, — рассказал исследователь изданию SecurityWeek. — Это позволяет уменьшить риски, причиной которых могут стать скрипт-кидди. Я могу разобраться с большинством образчиков [вредоносного ПО], если только антивирусные компании обратятся ко мне за помощью».
Тем не менее, исследователь пока не представил готовый инструмент для расшифровки файлов, лишь подробно описал процесс воссоздания ключа в блоге и раскрыл данные о бэкдоре в Hidden Tear. Многие эксперты, включая упомянутого Йонатана Клийнсма, опасаются, что злоумышленники теперь смогут обойти «защиту» Hidden Tear и изменят код, чтобы избавиться от бэкдора.
«Нельзя преследовать научные цели, публикуя исходные коды вымогательского ПО, — говорит Клийнсма. — Нам и так достаточно проблем, не стоит еще и помогать кому-то в этом “бизнесе”».
Фото: Trend Micro
На иллюстрации сообщение о выкупе, которое отображает Ransom_Cryptear.B