Сразу ряд исследователей обратили внимание на появление нового шифровальщика Black Shades, который атакует как англоговорящих, так и русскоязычных пользователей. Вымогатель изменяет расширения файлов на .silent, и просит за расшифровку данных всего $30. В исходниках вредоноса были найдены строки вроде «Hacked by Russian Hackers in Moscow Tverskaya Street», а также обнаружен простой способ защиты от Black Shades.

Первым Black Shades, еще две недели тому назад, заметил независимый исследователь, известный под псевдонимом Jack (@Malwareforme). Ранее Jack первым обнаружил червя-вымогателя ZCryptor, о котором Microsoft предупредила пользователей спустя несколько дней.

Подробно изучить нового шифровальщика взялись эксперты Bleeping Computer.

html-ransom-note
Требование выкупа

От других криптовымогателей Black Shades отличают две вещи. Во-первых, зловред вымогает у своих жертв на удивление небольшой выкуп, всего $30, которые можно уплатить посредством Bitcoin или PayPal. Во-вторых, в исходном коде вредоноса обнаружились странные вставки. Исследователи предполагают, что хакеры добавили загадочные комментарии и использовали обфускацию нарочно, чтобы поиздеваться нам теми, кому доведется анализировать код их малвари.

Кодировку злоумышленники использовали простую, при помощи обычного base64 исследователи сумели расшифровать их «послания». К примеру, строка

string1

расшифровывается как «YoxcnnotcrackthisAlgorithmynare>idiot<», то есть «ТебеневзломатьэтотАлгортимты>идиот<».

Еще одна строка:

russian-string

оказалась фразой на русском языке: «вы не можете взломать меня я очень жесткий». Судя по всему, русский язык не является родным для авторов малвари, так как «я очень жесткий», это явная попытка переложить на русский оборот «very hard».

taunts

Text5 расшифровывается как «Hacked by Russian Hackers in Moscow Tverskaya Street», и этот пассаж вряд ли нуждается в переводе.
Text6 расшифровывается как «youaresofartocrackMe».

Если говорить непосредственно о работе Black Shades, вредонос действует достаточно стандартно. Исследователи полагают, что малварь распространяется под видом фальшивых кряков, патчей и видеороликов. Будучи установлен на машину жертвы, Black Shades первым делом удаляет теневые копии, используя команду cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet.

Затем должен начаться процесс шифрования данных с применением алгоритма AES-256, но перед его стартом малварь проверяет две вещи. Сначала, чтобы определить IP-адрес пользователя, Black Shades обращается к сайту http://icanhazip.com. Также, чтобы проверить соединение с интернетом, вредонос обращается к Google.com.

В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно открыть файл hosts (c:\windows\system32\drivers\etc\hosts) и добавить в него строку 127.0.0.1 www.icanhazip.com. Если малварь не сумеет соединиться с icanhazip.com, она аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже). Таким образом, работа шифровальщика прервется, не успев начаться.

cant-connect-error

Исследователи полагают, что авторы малвари, вероятнее всего, устранят этот недочет в следующих версиях Black Shades. Но пока данный трюк может быть полезен, особенно в свете того, что взломать шифрование Black Shades пока не удалось.

Фото: Shutterstock



Оставить мнение