Конкуренция на рынке криптовымогателей велика, и едва ли не каждый день появляются новые образчики шифровальщиков. Операторы малвари Petya и Mischa через Twitter сообщили о том, что от одного конкурента они избавились собственноручно. Хакеры заявляют, что взломали «коллег», создавших вымогателя Chimera, и теперь опубликовали в открытом доступе ключи для дешифровки данных.
Now publishing leaked #chimera #ransomware keys: https://t.co/MRiugNDLlh @hasherezade
— JANUS (@JanusSecretary) July 26, 2016
Некто, скрывающийся под псевдонимом Janus, распространил в Twitter (@JanusSecretary) ссылку на PasteBin, где были опубликованы ключи для Chimera, а также официальное заявление авторов Petya и Mischa:
«Как уже заметили аналитики, Mischa отчасти построен на базе исходных кодов Chimera. Мы НЕ связаны с людьми, которые стоят за созданием Chimera. Ранее в этом году мы получили доступ к большой части их системы разработки и включили части Chimera в свой проект.
Теперь, в дополнение к этому, мы публикуем более 3500 ключей для дешифровки Chimera. Это приватные ключи RSA, которые приведены ниже в HEX формате. Обладая этой информацией, антивирусным компаниям не составит труда разработать декриптер».
Специалисты по информационной безопасности действительно уже занимаются анализом этой утечки. Так, эксперты Malwarebytes пишут, что ключи явно опубликованы не авторами Chimera, и пока занимаются проверкой информации:
«Чтобы убедится, что эти ключи аутентичны и создать инструмент для дешифровки данных, понадобится время. Но если вы пострадали от Chimera, пожалуйста, не удаляйте зашифрованные файлы, так как есть надежда, что скоро вы сможете их восстановить».
Хотя публикация ключей от чужой малвари — это определенно попытка навредить конкурентам, не стоит также упускать из виду тот факт, что за несколько часов до этого «слива» авторы шифровальщиков Petya и Mischa представили собственный RaaS-портал. То есть теперь они предлагают свое вымогательстве ПО как услугу, распространяемую по подписке. Возможно, компрометация конкурента также является своеобразной рекламной акцией, так как в конце сообщения хакеры предлагают всем желающим посетить свой RaaS-сайт в даркнете.
Дамп с ключами можно найти здесь (также эксперты Malwarebytes любезно создали его зеркало).