Еще один автор вымогательского ПО не сумел перехитрить специалистов по информационной безопасности, хотя явно очень хотел. Автор шифровальщика распространял свое детище под видом кряка для игры Far Cry Primal, не постеснявшись добавить ссылку на малварь прямо в описание видео на YouTube. После установки такого «кряка», жертвы лишались своих данных: зловред шифровал информацию, используя алгоритм AES и добавляя расширение .locked к файлам, а затем требовал 0,5 биткоина за расшифровку (около $200).
the video https://t.co/90XUOOWaxC with malicious link - connect to Poland DSL IP 83.27.145.91:15962 @CERT_Polska pic.twitter.com/qJZu98EgJU
— Malekal's site (@malekal_morte) March 9, 2016
Не считая того факта, что злоумышленник не постеснялся распространять своего вредоноса посредством YouTube, поведение малвари сложно назвать необычным. Аналогичным образом действуют почти все шифровальщики в наши дни.
Однако послание, которое злоумышленник оставлял своим жертвам, возмутило сразу нескольких специалистов в области информационной безопасности. В отличие от обычных деловых требований выкупа, оператор малвари откровенно издевался над своими жертвами: он саркастично рекомендовал им впредь пользоваться антивирусным ПО и не открывать подозрительные файлы. Писал, что жертвы «еще должны быть ему благодарны», ведь злоумышленник просит у них только деньги, а мог бы просто уничтожить данные или вообще оказаться членом ДАИШ (запрещенной на территории РФ террористической организации) и использовать деньги для ужасных целей. К тому же оператор малвари оправдывал свой род деятельности тем, что «ему тоже нужно как-то жить».
В довершение всего, киберпреступник откровенно бахвалился:
«Вы никогда меня не найдете, — писал он. — Полиция никогда не сможет меня найти. Валяйте, попробуйте, если хотите, но тогда не ждите, что вернете свои данные. <...> Если полицейские скажут, что им нужен ваш компьютер на пару дней, ну лол, скорее всего, вы вообще не увидите свою машину в обозримом будущем, равно как и информацию. Я занимаюсь этим пять лет и до сих пор не попался. В Best Buy не смогут обратить шифрование. Черт, даже АНБ, наверное, не сумеет его обратить».
Hey ! There is a challenge "Police will never be able to find me." https://t.co/JYXe4qTzKU
— Malekal's site (@malekal_morte) March 9, 2016
В свете этого эмоционального послания, развязка истории выглядит по-настоящему комично. Раздосадованные эксперты быстро выяснили, что шифровальщик создан на базе опенсорсного и экспериментального вредоноса EDA2, который ранее выложил на GitHub исследователь Ютку Сен (Utku Sen). И хотя Сена шантажом вынудили убрать малварь из открытого доступа, он все равно остался ее автором и исходно поместил в код шифровальщика бэкдор, так как не собирался причинять никому вреда.
Напомню, что ранее бэкдор Сена однажды уже оказался бесполезен, так как он находится в панели управления EDA2, а это оказалось не самой удачной идеей. Но наглый вымогатель, очевидно, вообще ничего не знал о бэкдоре, потому что на этот раз все сработало так, как и было задумано.
Когда к Сену обратились сразу несколько специалистов, с просьбой воспользоваться бэкдором, он, разумеется, не отказал. Без труда проникнув на командный сервер злоумышленника, Сен забрал все ключи шифрования и разместил их на Dropbox. Всего ключей насчитывается 656 штук (значит, столько же было пострадавших), и сообщается, что только три жертвы шифровальщика успели заплатить вымогателю выкуп.
got private keys with my backdoor. published them here. https://t.co/RxjA0MNKA0 @malwrhunterteam
— Utku Sen (@utku1337) March 9, 2016
Исследователи, между тем, выяснили, что «неуловимый» хакер, судя по всему, находится в Польше, и вполне могут передать данные правоохранительным органам.
Фото: pixabay