Специалисты компании Coveware изучили код шифровальщика Nitrogen и обнаружили, что из-за ошибки инструмент для дешифровки данных попросту не способен восстановить зашифрованные файлы. Так что платить хакерам выкуп просто бессмысленно.

По словам исследователей, проблема касается версии малвари, которая нацелена на VMware ESXi. Вредонос шифрует файлы неправильным публичным ключом, что делает расшифровку информации невозможной, даже если жертва заплатит атакующим и получит от них дешифратор.

Суть проблемы заключается в том, что малварь загружает в память новую переменную типа QWORD, которая перекрывает часть публичного ключа. Дело в том, что малварь размещает публичный ключ по смещению rsp+0x20, а затем записывает 8-байтовое значение QWORD по адресу rsp+0x1c. Поскольку QWORD занимает 8 байт (с rsp+0x1c по rsp+0x24), происходит частичное перекрытие начала публичного ключа (перезаписываются первые четыре байта). В результате инструмент для расшифровки данных просто не может сработать.

«Обычно при генерации пары из публичного и приватного ключей Curve25519 сначала создается приватный ключ, а затем на его основе вычисляется публичный, — поясняют в Coveware. — Поврежденный публичный ключ не был сгенерирован на основе приватного — он появился в результате случайной перезаписи нескольких байтов другого публичного ключа. В итоге никто не знает приватный ключ, который соответствует испорченному публичному».

Специалисты напоминают, что группировка Nitrogen активна с 2023 года. По данным Coveware, изначально она возникла после утечки в сеть билдера Conti, как и множество других групп, взявших этот код за основу.

Как ранее сообщали исследователи из компании Barracuda Networks, со временем Nitrogen постепенно эволюционировала в полноценную вымогательскую группу. Сначала она создавала малварь для обеспечения первичного доступа для других хакеров (хотя сама группировка не продавала доступы). Затем, примерно в сентябре 2024 года, хакеры стали шантажировать организации самостоятельно.

Ошибка в коде превращает малварь этой финансово мотивированной группы в деструктивный инструмент, в результате чего все остаются в проигрыше.