Исследователю компании Emsisoft Фабиану Восару не привыкать злить разработчиков вредоносного ПО. Восар борется со всевозможными шифровальщиками-вымогателями на постоянной основе, и авторы малвари, как правило, совсем не рады тому, что их шифрование взломали. Недавно Восар разозлил создателя криптовымогателя Apocalypse, взломав его шифрование, невзирая на все попытки улучшить малварь.
Еще зимой 2015 года мы рассказывали о том, что автор шифровальщика Radamant здорово разозлился на специалистов Emsisoft в целом и на Восара в частности, после того как те раскритиковали его код, взломали шифрование и представили бесплатную утилиту для расшифровки данных. Разработчик малвари тогда перешел на использование другого алгоритма и начал оставлять в коде оскорбительные комментарии в адрес компании Emsisoft (причем имя компании он постоянно писал с ошибкой).
Шифровальщик Apocalypse появился в поле зрения экспертов около двух месяцев тому назад. Малварь достаточно быстро «сделала себе имя», благодаря тому, что постоянно обновлялась и улучшалась, однако разработчики вредоноса почему-то так и не смогли увязать все это с использованием нормального алгоритма шифрования.
Эксперты пишут, что при распространении Apocalypse полагается на уязвимые RDP-серверы. Фактически операторам малвари предлагается брутфорсом пробраться на уязвимую машину и установить вымогательское ПО вручную. Apocalypse появился вскоре после выхода отчета, опубликованного экспертами Fox-IT в мае 2016 года. Тогда исследователи Fox-IT рассказали, что число брутфорс-атак на RDP-серверы возросло, и хакеры таким образом заражают системы шифровальщиками. Неделю спустя впервые был замечен Apocalypse.
Для работы Apocalypse использует базирующийся на XOR алгоритм шифрования. Фабиан Восар сумел взломать его еще в начале июня и представил бесплатный инструмент для расшифровки информации. Тогда автор малвари сконцентрировался на улучшении кода, а также начал применять обфускацию, используя VMProtect. Однако Восар вскоре представил вторую утилиту, которая работала и против «улучшенной» версии малвари, называвшейся ApocalypseVM.
Неделю спустя разработчик Apocalypse снова обновил вредоноса, и на этот раз в коде шифровальщика появились оскорбления в адрес специалистов Emsisoft. Кстати, имя компании опять написано неверно.
I have a new friend now! 😀 Sad though that they butchered the name again 🙁 pic.twitter.com/OnJs6W8GJ8
— Fabian Wosar (@fwosar) June 24, 2016
«Учитывая природу атак, защитное ПО становится практически неэффективным. Если атакующие получают удаленный доступ к системе, они способны просто отключить установленные защитные решения или добавить малварь в список исключений, — пишут исследователи Emsisoft. — Следовательно, в первую очередь необходимо предотвратить проникновение атакующих в систему».
Emsisoft рекомендует системным администраторам использовать надежные пароли, или вовсе отключать RDP протокол, если он не используется.
Фото: Sébastien Launay
