Kako je eksperiment sa ransomwareima pošao po zlu: žrtve ransomwarea EDA2 ne mogu da vrate fajlove
Opisi virusa, 25.01.2016, 01:00 AM

Sajber kriminalci su iskoristili open-source kod ransomwarea EDA2 i napravili ransomware Magic, koji se od pre nekoliko dana koristi u napadima.
Ovo je drugi put da se ovako nešto dešava sa kodom ransomwarea čiji je autor turski istraživač Utku Sen, koji je iz edukativnih razloga objavio kodove dva svoja ransomwarea koje je nazvao Hidden Tear i EDA2.
Ransomware RANSOM_CRYPEAR.B koji je baziran na kodu Hidden Tear ransomwarea počeo je da se primenjuje u napadima pre dve nedelje.
Za žrtve RANSOM_CRYPEAR.B malvera priča je imala srećan kraj, jer je Utku Sen otkrio da je namerno ostavio grešku u enkripciji u kodu ransomwarea, kako bi se pomoglo žrtvama ako do toga dođe.
Nažalost, za žrtve ransomwarea Magic nema rešenja, jer nema načina da se njihovi fajlovi vrate, čak i ako plate otkup.
Prve žrtve ransomwarea Magic pojavile su se na Redditu, a zatim i na forumima podrške Bleeping Computera. Još uvek nema informacija kako ovaj ransomware inficira računare.
Ono što se zna je da on dodaje ekstenziju .magic fajlovima koje šifruje, pa je zbog toga i dobio ime Magic.
Ransomware koristi AES enkripcijski algoritam, što znači da koristi isti ključ za šifrovanje i kasnije dešifrovanje fajlova. Nažalost, enkripcijski ključ nije sačuvan na inficiranim računarima već se šalje komandno-kontrolnom serveru.
Adresa servera može se izvući iz koda ransomwarea. C&C serveri su hostovani na besplatnom hosting servisu, ali neko je prijavio nalog autora ransomwarea, a većina besplatnih hosting servisa ne samo da suspenduje korisnike ako prekrše njihova pravila, već i briše njihove podatke.
To se dogodilo i enkripcijskim ključevima, što znači da šifrovane fajlove niko ne može da dešifruje više, čak ni autor ransomwarea Magic.
Utku Sen kaže da je njegov EDA2 ransomware projekat uključivao ne samo kod ransomwarea i instrukcije kako ga prilagoditi, već je reč o kompletnom alatu koji uključuje i admin panel gde se šalju svi enkripcijski ključevi.
Turski istraživač je želeo da u EDA2 ransomware stavi potpuno funckionalni enkripcijski modul, ali da ostavi backdoor u admin panelu, koji bi mu omogućio da pristupi bazi podataka i ukrade enkripcijske ključeve ako kriminalci ikada pomisle da iskoriste njegov EDA2 projekat.
S obzirom da su C&C serveri ugašeni, backdoor je potpuno beskoristan osim ako hosting provajder ne izvuče zeca iz šešira i nađe rezervnu kopiju podataka. U suprotnom, fajlovi koje je šifrovao Magic biće zauvek izgubljeni.
Stručnjaci sumnjaju da će se to dogoditi. Eksperiment turskog istraživača se pokazao kao loša ideja. On je imao dobre namere, jer su njegovi ransomwarei imali edukativnu svrhu, ali je sve pošlo po zlu kada su se u to umešali kriminalci.
Utku kaže da shvata da je pogrešio kada se odlučio da ostavi backdoor u admin panelu. On je uklonio sve fajlove EDA2 projekta, jer za sada još niko nije otkrio backdoor u EDA2, a on ga neće otkrivati jer se može desiti da u budućnosti vidimo nove primene EDA2.
“Žao mi je, ovog puta sam pogrešio”, kaže turski istraživač.

Izdvojeno
Iza lažnih Google oglasa za Homebrew krije se malver za macOS
.jpg)
Programer Rajan Čenki primetio je Google oglasnu kampanju putem koje se širi malver koji inficira Mac računare. Čenki je na X-u upozorio kolege pr... Dalje
Nova ''nevidljiva'' verzija opasnog malvera Banshee Stealer ugrožava milione korisnika macOS-a
.jpg)
Istraživači sajber bezbednosti iz kompanije Check Point otkrili su novu verziju malvera za krađu podataka za macOS pod nazivom Banshee Stealer, za ... Dalje
Nevidljivi špijun: Remcos RAT

Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje
Popularna platforma se zloupotrebljava za širenje malvera
.jpg)
Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje
Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT
.jpg)
Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje
Pratite nas
Nagrade