Еще один автор вымогательского ПО не сумел перехитрить специалистов по информационной безопасности, хотя явно очень хотел. Автор шифровальщика распространял свое детище под видом кряка для игры Far Cry Primal, не постеснявшись добавить ссылку на малварь прямо в описание видео на YouTube. После установки такого «кряка», жертвы лишались своих данных: зловред шифровал информацию, используя алгоритм AES и добавляя расширение .locked к файлам, а затем требовал 0,5 биткоина за расшифровку (около $200).

Не считая того факта, что злоумышленник не постеснялся распространять своего вредоноса посредством YouTube, поведение малвари сложно назвать необычным. Аналогичным образом действуют почти все шифровальщики в наши дни.

Однако послание, которое злоумышленник оставлял своим жертвам, возмутило сразу нескольких специалистов в области информационной безопасности.  В отличие от обычных деловых требований выкупа, оператор малвари откровенно издевался над своими жертвами: он саркастично рекомендовал им впредь пользоваться антивирусным ПО и не открывать подозрительные файлы. Писал, что жертвы «еще должны быть ему благодарны», ведь злоумышленник просит у них только деньги, а мог бы просто уничтожить данные или вообще оказаться членом ДАИШ (запрещенной на территории РФ террористической организации) и использовать деньги для ужасных целей. К тому же оператор малвари оправдывал свой род деятельности тем, что «ему тоже нужно как-то жить».

В довершение всего, киберпреступник откровенно бахвалился:

«Вы никогда меня не найдете, — писал он. — Полиция никогда не сможет меня найти. Валяйте, попробуйте, если хотите, но тогда не ждите, что вернете свои данные. <…> Если полицейские скажут, что им нужен ваш компьютер на пару дней, ну лол, скорее всего, вы вообще не увидите свою машину в обозримом будущем, равно как и информацию. Я занимаюсь этим пять лет и до сих пор не попался. В Best Buy не смогут обратить шифрование. Черт, даже АНБ, наверное, не сумеет его обратить».

В свете этого эмоционального послания, развязка истории выглядит по-настоящему комично. Раздосадованные эксперты быстро выяснили, что шифровальщик создан на базе опенсорсного и экспериментального вредоноса EDA2, который ранее выложил на GitHub исследователь Ютку Сен (Utku Sen). И хотя Сена шантажом вынудили убрать малварь из открытого доступа, он все равно остался ее автором и исходно поместил в код шифровальщика бэкдор, так как не собирался причинять никому вреда.

Напомню, что ранее бэкдор Сена однажды уже оказался бесполезен, так как он находится в панели управления EDA2, а это оказалось не самой удачной идеей. Но наглый вымогатель, очевидно, вообще ничего не знал о бэкдоре, потому что на этот раз все сработало так, как и было задумано.

Когда к Сену обратились сразу несколько специалистов, с просьбой воспользоваться бэкдором, он, разумеется, не отказал. Без труда проникнув на командный сервер злоумышленника, Сен забрал все ключи шифрования и разместил их на Dropbox. Всего ключей насчитывается 656 штук (значит, столько же было пострадавших), и сообщается, что только три жертвы шифровальщика успели заплатить вымогателю выкуп.

Исследователи, между тем, выяснили, что «неуловимый» хакер, судя по всему, находится в Польше, и вполне могут передать данные правоохранительным органам.

Фото: pixabay



1 комментарий

  1. John Cramer

    14.03.2016 at 15:16

    Похоже, что написанием вымогателей занимаются чуть ли не сплошь криворукие уроды. Попадался мне экземпляр, в котором автор-дельфист, явно не зная, что переполнение при целочисленных операциях можно попросту игнорировать, пустился в такие дебри, что сделал шифрование вообще необратимым. Хоть бы программировать для начала научились, так нет же, за бабками ломанулись… «хакеры»…

Оставить мнение