Эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) регулярно привлекает внимание авторов вредоносного ПО. Дело в том, что Восар регулярно взламывает плохо написанные шифровальщики, выпускает бесплатные инструменты для расшифровки данных и не забывает с юмором комментировать все происходящее в своем твиттере.
Злоумышленники регулярно пытаются отомстить эксперту. К примеру, автор вымогателя Radamant посвящал Восару и Emsisoft нецензурные тирады в своем коде. А противостояние между исследователем и авторами малвари Apocalypse обострилось до такой степени, что злоумышленники временно переименовали своего вымогателя в Fabiansomware и попытались подставить исследователя.
So a ransomware author contacted me today asking for help with their ransomware. They hit a bug in CryptoAPI in their encryption routine ...
— Fabian Wosar (@fwosar) November 16, 2016
Вчера, 16 ноября 2016 года, Восар сообщил в своем твиттере, что у него возникла серьезная моральная дилемма (см. выше). Невзирая на вражду в прошлом, один из авторов шифровальщика Apocalypse (который теперь называется Esmeralda и Kangaroo) решил обратиться к Восару за помощью: вирусописатели не сумели своими силами исправить баг, из-за которого часть файлов пользователей повреждается во время шифрования.
В своем послании автор малвари был предельно честен и говорил прямо. Он не отрицает, что деньги для него важнее проблем пользователей:
«Раз уж вы пишете, что сочувствуете жертвам вымогательского ПО... Вы можете им помочь. Как вам известно, мы используем CryptoApi, поэтому если функция шифрования не срабатывает, мы просто заполняем файл мусором.
В результате после расшифровки некоторые жертвы орут на нас... Мы пытаемся вести честный бизнес, но деньги для нас важнее, чем несколько файлов, которые потеряли несколько жертв.
Как вы можете им помочь? Я знаю, что вы сильны в криптографии, мы могли бы прислать вам код шифрования и дешифровки, а вы могли бы указать нам, где находится баг, чтобы мы его исправили. И больше никакого фейкового шифрования, с мусором, вместо оригинального содержимого файла».
В своем твиттере Восар пишет, что пока не решил, что делать. Пока он обратился к коллегам с вопросом «что в такой ситуации сделали бы вы?», и большинство исследователей со всего мира порекомендовали Восару не связываться, ведь тогда, помимо прочего, получится, что он помогает преступникам.
Фото: Depositphotos
