Летом минувшего года ИБ-эксперты обнаружили вредоноса PyLocky, который был написан на Python и маскировался под известного вымогателя Locky. При этом PyLocky не имел никакого отношения к своему знаменитому прототипу. Малварь была создана с использованием PyInstaller, который позволяет сделать из Python-приложения исполняемый файл. Также PyLocky использовал опенсорсный Inno Setup Installer, из-за чего его крайне трудно обнаружить, используя только статический анализ.
Атаки PyLocky были направлены против европейских пользователей, так, в конце августа 2018 года почти 2/3 целей шифровальщика находились во Франции. Исходя из того, что сообщения с требованием выкупа написаны на английском, французском, итальянском, корейском и других языках, эксперты писали, что операторы малвари планируют расширять атаки на другие страны и регионы.
В конце прошлой недели французские власти представили дешифровщик PyLocky версий 1 и 2, то есть позволяющий расшифровать файлы с расширением .lockedfile, .lockymap, а также .locky. Представители Министерства внутренних дел Франции подтвердили, что множество жертв PyLocky находились во Франции, причем это были как обычные пользователи, так и крупные компании и организации.
Интересно, что по наблюдениям известного ИБ-специалиста Майкла Гиллеспи (Michael Gillespie), дешифровщик французских властей содержит два жестко закодированных приватных RSA-ключа. Это означает, что специалисты не просто нашли брешь в алгоритме шифрования, используемом вымогателями, но правоохранительные органы могли получить доступ к управляющему серверу злоумышленников, где и обнаружили мастер-ключи для PyLocky версий 1 и 2.