Хакер #305. Многошаговые SQL-инъекции
Эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) хорошо известен тем, что регулярно вызывает негодование разработчиков вредоносного ПО. Восар взломал шифрование уже многих вымогателей, что, конечно, пришось не по нраву их авторам. Так, еще летом 2016 года, Восар взломал шифровальщика Apocalypse и написал бесплатный инструмент для расшифровки данных. С тех пор противостояние между исследователем и авторами Apocalypse обострилось до такой степени, что злоумышленники переименовали своего вымогателя в Fabiansomware, а также используют почту fabiansomware@mail.ru для связи со своими жертвами.
Напомню, что Apocalypse впервые был обнаружен весной 2016 года. Тогда исследователи компании Fox-IT рассказали, что число брутфорс-атак на RDP-серверы возросло, и хакеры таким образом заражают системы шифровальщиками. Неделю спустя появился Apocalypse, действующий именно по такой схеме: для реализации атаки нужны уязвимые RDP-серверы. По сути, операторы малвари используют брутфорс, чтобы пробраться на уязвимую машину, а затем вручную устанавливают вымогательское ПО.
Несмотря на то, что малварь постоянно обновлялась и улучшалась, разработчики Apocalypse почему-то решили использовать для шифрования данных базирующийся на XOR алгоритм. Фабиан Восар сумел взломать его еще в начале июня 2016 года и представил бесплатный инструмент для расшифровки информации. Тогда автор(ы) малвари сконцентрировались на улучшении кода, а также начали применять обфускацию, используя VMProtect. Однако Восар вскоре представил вторую утилиту, которая работала и против «улучшенной» версии малвари, называвшейся ApocalypseVM.
Неделю спустя Apocalypse снова обновился, на этот раз в коде шифровальщика появились оскорбления в адрес специалистов Emsisoft, причем имя компании было написано с ошибкой.
I have a new friend now! 😀 Sad though that they butchered the name again 🙁 pic.twitter.com/OnJs6W8GJ8
— Fabian Wosar (@fwosar) June 24, 2016
Теперь, спустя несколько месяцев, ситуация продолжает развиваться. Дошло до того, что в твиттере Восар называет разработчиков Apocalypse не иначе как «вымогатели-дегенераты», а автор(ы) малвари не оставляют попыток отомстить эксперту.
Еще в середине августа 2016 года Восар обнаружил, что создатели вредоноса стали использовать почтовый ящик fabiansomware@mail.ru для общения со своими жертвами. Тогда исследователь мрачно пошутил, написав: «сомневаюсь, стоит ли говорить о том, что я не имею к ним никакого отношения».
So apparently the Apocalypse degenerates left some new messages. Guess they got gooked then: https://t.co/iCOQXyPahY pic.twitter.com/AD9Oa4K8wc
— Fabian Wosar (@fwosar) August 16, 2016
So apparently the Apocalypse degenerates use "fabiansomware@mail.ru" now. Doubt it's necessary to say it, but I am not involved with them.
— Fabian Wosar (@fwosar) August 16, 2016
Как выяснилось несколько дней спустя, написать об этом действительно стоило и, желательно, на видном месте. Дело в том, что к Восару начали обращаться разгневанные пользователи, пострадавшие от вымогателя, принимая его за автора шифровальщика.
Looks like I was wrong and the statement that I have nothing to do with Apocalypse is necessary after all ... pic.twitter.com/2GStcJASMh
— Fabian Wosar (@fwosar) August 19, 2016
29 августа 2016 года Восар сообщил, что создатели Apocalypse, видимо, дошли до белого каления, так как они переименовали свою малварь в Fabiansomware. В блоге Emsisoft этому событию даже посвятили отдельную запись. Также всем пострадавшим напоминают, что бесплатный декриптер по-прежнему актуален.
So looks like the Apocalypse degenerates decided to rename their project to Fabiansomware. They fell hard for me. pic.twitter.com/pYkXp1vEap
— Fabian Wosar (@fwosar) August 29, 2016
Между тем, автор(ы) Apocalypse вовсе не единственные, кому Восар «мешает работать». Так, еще в 2015 году мы рассказывали о том, что автор шифровальщика Radamant здорово разозлился на специалистов Emsisoft в целом и на Восара в частности, после того как те раскритиковали его код, взломали шифрование и представили бесплатную утилиту для расшифровки данных. Разработчик малвари тогда перешел на использование другого алгоритма и начал оставлять в коде оскорбительные комментарии в адрес компании Emsisoft (причем имя компании он постоянно писал с ошибкой). А сегодня, 8 сентября 2016 года, Восар опубликовал у себя в твиттере скриншот кода шифровальщика Stampado, содержащий строку «fuck you Fabian», которая определенно не нуждается в переводе.
If you told young me what a popular guy I would be, I wouldn't have believed you. Welcome to the club Stampado devs. pic.twitter.com/7Oe0V9NkTF
— Fabian Wosar (@fwosar) September 8, 2016