Kako je eksperiment sa ransomwareima pošao po zlu: žrtve ransomwarea EDA2 ne mogu da vrate fajlove

Opisi virusa, 25.01.2016, 01:00 AM

Kako je eksperiment sa ransomwareima pošao po zlu: žrtve ransomwarea EDA2 ne mogu da vrate fajlove

Sajber kriminalci su iskoristili open-source kod ransomwarea EDA2 i napravili ransomware Magic, koji se od pre nekoliko dana koristi u napadima.

Ovo je drugi put da se ovako nešto dešava sa kodom ransomwarea čiji je autor turski istraživač Utku Sen, koji je iz edukativnih razloga objavio kodove dva svoja ransomwarea koje je nazvao Hidden Tear i EDA2.

Ransomware RANSOM_CRYPEAR.B koji je baziran na kodu Hidden Tear ransomwarea počeo je da se primenjuje u napadima pre dve nedelje.

Za žrtve RANSOM_CRYPEAR.B malvera priča je imala srećan kraj, jer je Utku Sen otkrio da je namerno ostavio grešku u enkripciji u kodu ransomwarea, kako bi se pomoglo žrtvama ako do toga dođe.

Nažalost, za žrtve ransomwarea Magic nema rešenja, jer nema načina da se njihovi fajlovi vrate, čak i ako plate otkup.

Prve žrtve ransomwarea Magic pojavile su se na Redditu, a zatim i na forumima podrške Bleeping Computera. Još uvek nema informacija kako ovaj ransomware inficira računare.

Ono što se zna je da on dodaje ekstenziju .magic fajlovima koje šifruje, pa je zbog toga i dobio ime Magic.

Ransomware koristi AES enkripcijski algoritam, što znači da koristi isti ključ za šifrovanje i kasnije dešifrovanje fajlova. Nažalost, enkripcijski ključ nije sačuvan na inficiranim računarima već se šalje komandno-kontrolnom serveru.

Adresa servera može se izvući iz koda ransomwarea. C&C serveri su hostovani na besplatnom hosting servisu, ali neko je prijavio nalog autora ransomwarea, a većina besplatnih hosting servisa ne samo da suspenduje korisnike ako prekrše njihova pravila, već i briše njihove podatke.

To se dogodilo i enkripcijskim ključevima, što znači da šifrovane fajlove niko ne može da dešifruje više, čak ni autor ransomwarea Magic.

Utku Sen kaže da je njegov EDA2 ransomware projekat uključivao ne samo kod ransomwarea i instrukcije kako ga prilagoditi, već je reč o kompletnom alatu koji uključuje i admin panel gde se šalju svi enkripcijski ključevi.

Turski istraživač je želeo da u EDA2 ransomware stavi potpuno funckionalni enkripcijski modul, ali da ostavi backdoor u admin panelu, koji bi mu omogućio da pristupi bazi podataka i ukrade enkripcijske ključeve ako kriminalci ikada pomisle da iskoriste njegov EDA2 projekat.

S obzirom da su C&C serveri ugašeni, backdoor je potpuno beskoristan osim ako hosting provajder ne izvuče zeca iz šešira i nađe rezervnu kopiju podataka. U suprotnom, fajlovi koje je šifrovao Magic biće zauvek izgubljeni.

Stručnjaci sumnjaju da će se to dogoditi. Eksperiment turskog istraživača se pokazao kao loša ideja. On je imao dobre namere, jer su njegovi ransomwarei imali edukativnu svrhu, ali je sve pošlo po zlu kada su se u to umešali kriminalci.

Utku kaže da shvata da je pogrešio kada se odlučio da ostavi backdoor u admin panelu. On je uklonio sve fajlove EDA2 projekta, jer za sada još niko nije otkrio backdoor u EDA2, a on ga neće otkrivati jer se može desiti da u budućnosti vidimo nove primene EDA2.

“Žao mi je, ovog puta sam pogrešio”, kaže turski istraživač.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Majneri kripto-valuta postali su novi standard u svetu malvera, a nove verzije postaju sve složenije, jer su u mogućnosti da efikasnije sakriju svo... Dalje

Windows .exe malver cilja Mac računare

Windows .exe malver cilja Mac računare

Maliciozni Windows EXE fajl može zaraziti i vaš Mac računar. Da, dobro ste pročitali - .exe malver na macOS-u. Istraživači kompanije Trend Micro... Dalje

Slika Super Maria iz emailova krije ransomware GandCrab

Slika Super Maria iz emailova krije ransomware GandCrab

Istraživači iz firme Bromium otkrili su emailove sa Microsoft Excel dokumentima koji imaju nazive kao što je "F.DOC.2019 A 259 SPA.xls" koji kada s... Dalje

Jedan od najdestruktivnijih malvera na svetu se vratio i napao opet jednu naftnu kompaniju

Jedan od najdestruktivnijih malvera na svetu se vratio i napao opet jednu naftnu kompaniju

Malver Shamoon se vratio. Za one koji prvi put čuju za Shamoon, reč je o jednom od najdestruktivnijih malvera koji je 2012. napravio haos u kompanij... Dalje

Novi sajber špijun, backdoor GreyEnergy

Novi sajber špijun, backdoor GreyEnergy

Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) gr... Dalje