Эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) хорошо известен тем, что регулярно вызывает негодование разработчиков вредоносного ПО. Восар взломал шифрование уже многих вымогателей, что, конечно, пришось не по нраву их авторам. Так, еще летом 2016 года, Восар взломал шифровальщика Apocalypse и написал бесплатный инструмент для расшифровки данных. С тех пор противостояние между исследователем и авторами Apocalypse обострилось до такой степени, что злоумышленники переименовали своего вымогателя в Fabiansomware, а также используют почту fabiansomware@mail.ru для связи со своими жертвами.

Напомню, что Apocalypse впервые был обнаружен весной 2016 года. Тогда исследователи компании Fox-IT рассказали, что число брутфорс-атак на RDP-серверы возросло, и хакеры таким образом заражают системы шифровальщиками. Неделю спустя появился Apocalypse, действующий именно по такой схеме: для реализации атаки нужны уязвимые RDP-серверы. По сути, операторы малвари используют брутфорс, чтобы пробраться на уязвимую машину, а затем вручную устанавливают вымогательское ПО.

Несмотря на то, что малварь постоянно обновлялась и улучшалась, разработчики Apocalypse почему-то решили использовать для шифрования данных базирующийся на XOR алгоритм. Фабиан Восар сумел взломать его еще в начале июня 2016 года и представил бесплатный инструмент для расшифровки информации. Тогда автор(ы) малвари сконцентрировались на улучшении кода, а также начали применять обфускацию, используя VMProtect. Однако Восар вскоре представил вторую утилиту, которая работала и против «улучшенной» версии малвари, называвшейся ApocalypseVM.

Неделю спустя Apocalypse снова обновился, на этот раз в коде шифровальщика появились оскорбления в адрес специалистов Emsisoft, причем имя компании было написано с ошибкой.

Теперь, спустя несколько месяцев, ситуация продолжает развиваться. Дошло до того, что в твиттере Восар называет разработчиков Apocalypse не иначе как «вымогатели-дегенераты», а автор(ы) малвари не оставляют попыток отомстить эксперту.

Еще в середине августа 2016 года Восар обнаружил, что создатели вредоноса стали использовать почтовый ящик fabiansomware@mail.ru для общения со своими жертвами. Тогда исследователь мрачно пошутил, написав: «сомневаюсь, стоит ли говорить о том, что я не имею к ним никакого отношения».

Как выяснилось несколько дней спустя, написать об этом действительно стоило и, желательно, на видном месте. Дело в том, что к Восару начали обращаться разгневанные пользователи, пострадавшие от вымогателя, принимая его за автора шифровальщика.

29 августа 2016 года Восар сообщил, что создатели Apocalypse, видимо, дошли до белого каления, так как они переименовали свою малварь в Fabiansomware. В блоге Emsisoft этому событию даже посвятили отдельную запись. Также всем пострадавшим напоминают, что бесплатный декриптер по-прежнему актуален.

Между тем, автор(ы) Apocalypse вовсе не единственные, кому Восар «мешает работать». Так, еще в 2015 году мы рассказывали о том, что автор шифровальщика Radamant здорово разозлился на специалистов Emsisoft в целом и на Восара в частности, после того как те раскритиковали его код, взломали шифрование и представили бесплатную утилиту для расшифровки данных. Разработчик малвари тогда перешел на использование другого алгоритма и начал оставлять в коде оскорбительные комментарии в адрес компании Emsisoft (причем имя компании он постоянно писал с ошибкой). А сегодня, 8 сентября 2016 года, Восар опубликовал у себя в твиттере скриншот кода шифровальщика Stampado, содержащий строку «fuck you Fabian», которая определенно не нуждается в переводе.

Оставить мнение