Летом минувшего года ИБ-эксперты обнаружили вредоноса PyLocky, который был написан на Python и маскировался под известного вымогателя Locky. При этом PyLocky не имел никакого отношения к своему знаменитому прототипу. Малварь была создана с использованием PyInstaller, который позволяет сделать из Python-приложения исполняемый файл. Также PyLocky использовал опенсорсный Inno Setup Installer, из-за чего его крайне трудно обнаружить, используя только статический анализ.

Атаки PyLocky были направлены против европейских пользователей, так, в конце августа 2018 года почти 2/3 целей шифровальщика находились во Франции. Исходя из того, что сообщения с требованием выкупа написаны на английском, французском, итальянском, корейском и других языках, эксперты писали, что операторы малвари планируют расширять атаки на другие страны и регионы.

В конце прошлой недели французские власти представили дешифровщик PyLocky версий 1 и 2, то есть позволяющий расшифровать файлы с расширением  .lockedfile, .lockymap, а также .locky. Представители Министерства внутренних дел Франции подтвердили, что множество жертв PyLocky находились во Франции, причем это были как обычные пользователи, так и крупные компании и организации.

Интересно, что по наблюдениям известного ИБ-специалиста Майкла Гиллеспи (Michael Gillespie), дешифровщик французских властей содержит два жестко закодированных приватных RSA-ключа.  Это означает, что специалисты не просто нашли брешь в алгоритме шифрования, используемом вымогателями, но правоохранительные органы могли получить доступ к управляющему серверу злоумышленников, где и обнаружили мастер-ключи для PyLocky версий 1 и 2.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии