Zašto su autori WannaRen ransomwarea odlučili da žrtvama besplatno daju ključ za dešifrovanje

Vesti, 24.08.2020, 00:30 AM

Zašto su autori WannaRen ransomwarea odlučili da žrtvama besplatno daju ključ za dešifrovanje

Velika epidemija ransomwarea pogodila je kineske korisnike interneta u aprilu ove godine. Otprilike nedelju dana, ransomware poznat kao WannaRen inficirao je uređaje na desetine hiljada ljudi, ali i lokalnih kineskih i tajvanskih kompanija.

Četiri meseca kasnije, viralnost WannaRen ransomwarea može se objasniti činjenicom da su njegovi programeri bili inspirisani WannaCry ransomwareom, krivcem za globalnu epidemiju iz maja 2017. godine.

Kao i u slučaju ransomwarea WannaCry, autori WannaRen ransomwarea ugradili su EternalBlue exploit u lanac infekcije, omogućavajući WannaRenu da se širi bez ograničenja unutar korporativnih mreža pre šifrovanja fajlova.

I baš kao WannaCry, WannaRen se proširio poput požara, daleko više od onoga što su autori ransomwarea naumili, uzrokujući mnogo veći problem nego što su oni predvideli, i to je razlog zašto su se na kraju autori ransomwarea besplatno odrekli master ključa za dešifrovanje, tako da sve žrtve mogu da vrate svoje fajlove.

Više od tri godine nakon što se to dogodilo, sada se sa sigurnošću može reći da su WannaCry stvorili severnokorejski hakeri koji rade za vladu ove države, imajući na umu manji broj žrtava, od kojih će uzeti otkupninu i upotrebiti je za finansiranje režima u Pjongjangu. Autori WannaCry nikada nisu imali velike ambicije, a izazivanje globalne epidemije nikada nije bila njihova namera, jer je to samo privuklo više pažnje i ukazalo na njihove kriminalne aktivnosti.

Nešto slično se može reći i za autore WannaRen ransomwarea, grupu za koju je kineski proizvođač antivirusa Qihoo 360 rekao da je prati pod imenom Hidden Shadow. Ova grupa je aktivna godinama, umešana je u distribuciju niza malvera, obično preko piratskih sajtova na kojima se nelegalno može preuzeti softver.

Dosadašnje delovanje grupe bilo je ograničeno na distribuciju malvera koji kradu lozinke, keyloggera, trojanaca za daljinski pristup i malvera za rudarenje kriptovaluta. WannaRen je dodat u arsenal grupe 4. aprila ove godine.

Prema više izvora, početna tačka distribucije WannaRena bila je modifikovani instalacioni program za uređivač teksta Notepad ++ koji se distribuira preko Xixi Software centra.

Pošto je pristup zvaničnom veb sajtu za preuzimanje Notepad ++ u Kini često blokiran zbog anti-kineskog stava proizvođača softvera a i zato što je Xixi jedan od najvećih kineskih sajtova za preuzimanje softvera, logično je što je odmah došlo do velikog skoka broja inficiranih.

Hiljade kineskih korisnika interneta počelo je da traži pomoć za dešifrovanje svojih fajlova na kineskim forumima, društvenim mrežama i četovima, od prvog dana kada su WannaRen infekcije počele da se otkrivaju. Iako su mnoge žrtve bili kućni korisnici, mnogi od onih koji su tražili pomoć bili su IT administratori koji upravljaju korporativnim mrežama, gde je WannaRen bio posebno agresivan. To je verovatno posledica rutine infekcije WannaRena.

Na računarima na kojima su korisnici instalirali ovu inficiranu verziju Notepada ++, instalacioni fajl je ostavljao backdoor trojanca, aktivirao EternalBlue exploit kako bi se proširio po mreži (putem SMBv1) i koristio PowerShell skriptu za preuzimanje i instaliranje WannaRen ransomwarea ili modul za rudarenje kriptovalute Monero.

Kada bi blokirao računare korisnika, ransomware je prikazivao poruku o otkupnini sa slikom severnokorejskog predsednika Kim Jong Una i tražio od žrtava da plate naknadu za dešifrovanje od 0,05 bitkoina (oko 550 dolara) da bi njihovi fajlovi bili dešifrovani.

Svi računari koje je zarazio ovaj ransomware bili su prepoznatljivi po tome što je nazivima šifrovanih fajlova dodavana ekstenzija „.wannaren“.

S obzirom na ciljeve napada i otkupninu, bilo je prilično jasno da grupa nije nameravala da se njihov ransomware širi tako mnogo i tako brzo.

Verovatno se plašeći reakcije kineskih vlasti, manje od nedelju dana nakon što je počela distribucija WannaRena, grupa Hidden Shadow kontaktirala je lokalnu kinesku firmu za sajber-bezbednost pod nazivom Huorong Security.

U nizu emailova koje je kompanija objavila, autori WannaRena prosledili su master ključ za dešifrovanje ransomwarea, tražeći od kompanije da napravi i podeli besplatni program za dešifrovanje sa zaraženima.

Istog dana, 9. aprila, Huorong je objavio svoj program za dešifrovanje WannaRena, nakon čega je nekoliko sati kasnije objavljen sličan program za dešifrovanje koji je napravila kompanija QiAnXin Technology, koja je takođe pratila brzo širenje ransomwarea širom Kine .

Međutim, iako je velika većina korisnika WannaRena bila u Kini, ekstremna viralnost ransomwarea je takođe omogućila da se malver putem internih mreža proširi iz kineskih ogranaka u neke strane kompanije.

S obzirom da nisu sve ove kompanije možda znale da postoji besplatan alat za dešifrovanje ili možda ne veruju alatima koje su napravile dve kineske firme, prošle nedelje je rumunski proizvođač antivirusa Bitdefender objavio svoj alat za dešifrovanje WannaRena.

U ovom trenutku WannaRen više nije aktivan, ali žrtve koje su aprila možda napravile kopije šifrovanih fajlova sada ih mogu besplatno dešifrovati.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakeri izmenili ukradene podatke o Fajzerovoj vakcini da bi sabotirali vakcinaciju

Hakeri izmenili ukradene podatke o Fajzerovoj vakcini da bi sabotirali vakcinaciju

Hakeri koji su ukrali informacije o Phizer/BioNTech vakcini protiv COVID-19 u sajber napadu na medicinsku agenciju Evropske unije koji se dogodio pro... Dalje

Zatvara se Joker's Stash, najveća prodavnica ukradenih kreditnih kartica

Zatvara se Joker's Stash, najveća prodavnica ukradenih kreditnih kartica

Administrator Joker's Stasha, popularnog i jednog od najdugovečnijih sajtova mračnog veba za kupovinu ukradenih kreditnih kartica, najavio je u peta... Dalje

Zbog egzodusa korisnika, WhatsApp odložio primenu novih kontroverznih smernica o deljenju podataka korisnika sa Facebookom

Zbog egzodusa korisnika, WhatsApp odložio primenu novih kontroverznih smernica o deljenju podataka korisnika sa Facebookom

WhatsApp je saopštio da do 15. maja neće primenjivati nedavno najavljeno kontroverzno ažuriranje smernica o deljenju podataka koje je, kako je prv... Dalje

Facebook tužio dvojicu programera ekstenzija za Chrome zbog prikupljanja podataka korisnika

Facebook tužio dvojicu programera ekstenzija za Chrome zbog prikupljanja podataka korisnika

Facebook je tužio dvojicu portugalskih programera zbog ekstenzija za Chrome koje su prikupljale korisničke podatke sa Facebookovih veb sajtova. &bdq... Dalje

Procurili podaci o Fajzerovoj vakcini koje su ukrali nepoznati hakeri

Procurili podaci o Fajzerovoj vakcini koje su ukrali nepoznati hakeri

Evropska agencija za lekove (EMA) je saopštila da su neki podaci o vakcini protiv COVID-19 koju proizvode Pfizer i BioNTech ukradeni sa njenih server... Dalje