История турецкого исследователя Ютку Сена (Utku Sen) и его вредоносов с открытым кодом продолжается. Недавно хакеры шантажом вынудили разработчика удалить с GitHub два вымогательских приложения, созданные и опубликованные «в образовательных и исследовательских целях»: Hidden Tear и EDA2. Судя по всему, Сену стоило изъять свои вредоносы из открытого доступа раньше. Эксперты «Лаборатории Касперского» сообщают, что на базе опенсорсной малвари Сена работают уже по меньшей мере 24 настоящих шифровальщика.
Ранее сообщалось, что на базе готовых решений турецкого исследователя были созданы шифровальщики Ransom_Cryptear.B и Magic. Шифрование первого вымогателя в итоге было взломано как самим Сеном, который заложил в свой код бэкдор, так и различными ИБ-экспертами. Но со вторым вредоносом Сен промахнулся, поместив бэкдор в панель управления EDA2, что оказалось не самой удачной идеей. Взломать шифрование, и спасти файлы жертв Magic не удалось. В итоге разработчик был вынужден извиниться перед всеми пострадавшими и удалить с GitHub код вымогателя EDA2.
Но в конце января 2016 года, второй инцидент получил неожиданное развитие: разработчика принялись шантажировать настоящие хакеры, требуя у него также удалить с GitHub исходники малвари Hidden Tear. В итоге Сен договорился со злоумышленниками. Те пообещали бесплатно расшифровать файлы всех жертв Magic, а турецкий исследователь действительно изъял Hidden Tear из открытого доступа.
Теперь выясняется, что все желающие, похоже, успели скачать исходные коды вредоносов Сена задолго до их удаления. Эксперты «Лаборатории Касперского» пишут, что на базе Hidden Tear было создано как минимум 24 шифровальщика.
Один из представителей новой семейства – вымогатель Trojan-Ransom.MSIL.Tear.c был изменен таким образом, чтобы шифровать только файлы, найденные на десктопных компьютерах.
Другой образчик — Trojan-Ransom.MSIL.Tear.f также известен как KryptoLocker. Этот вымогатель заставляет жертв связываться с авторами трояна по почте и врет пострадавшим о том, какой алгоритм шифрования был применен для зашифровки файлов.
Хуже того, не все вредоносы, созданные на базе исходных кодов Сена, работают корректно. Так, версии Trojan-Ransom.MSIL.Tear.n , Trojan-Ransom.MSIL.Tear.o, Trojan-Ransom.MSIL.Tear.p и Trojan-Ransom.MSIL.Tear.q шифруют файлы, но не сохраняют и не отсылают никуда ключи шифрования. То есть все данные жертв оказываются утеряны навсегда.
Трояны версий от Trojan-Ransom.MSIL.Tear. r до Trojan-Ransom.MSIL.Tear.v работают еще интереснее: они отсылают ключи шифрования на командный сервер example.com! Очевидно, вирусописатели просто забыли изменить в коде домен, оставив значение, использовавшееся в качестве примера. В результате все файлы пользователей, пострадавших от этой малвари, тоже оказываются утеряны безвозвратно.
Ютку Сен пока никак не прокомментировал отчет экспертов «Лаборатории Касперского».