Kako je eksperiment sa ransomwareima pošao po zlu: žrtve ransomwarea EDA2 ne mogu da vrate fajlove

Opisi virusa, 25.01.2016, 01:00 AM

Kako je eksperiment sa ransomwareima pošao po zlu: žrtve ransomwarea EDA2 ne mogu da vrate fajlove

Sajber kriminalci su iskoristili open-source kod ransomwarea EDA2 i napravili ransomware Magic, koji se od pre nekoliko dana koristi u napadima.

Ovo je drugi put da se ovako nešto dešava sa kodom ransomwarea čiji je autor turski istraživač Utku Sen, koji je iz edukativnih razloga objavio kodove dva svoja ransomwarea koje je nazvao Hidden Tear i EDA2.

Ransomware RANSOM_CRYPEAR.B koji je baziran na kodu Hidden Tear ransomwarea počeo je da se primenjuje u napadima pre dve nedelje.

Za žrtve RANSOM_CRYPEAR.B malvera priča je imala srećan kraj, jer je Utku Sen otkrio da je namerno ostavio grešku u enkripciji u kodu ransomwarea, kako bi se pomoglo žrtvama ako do toga dođe.

Nažalost, za žrtve ransomwarea Magic nema rešenja, jer nema načina da se njihovi fajlovi vrate, čak i ako plate otkup.

Prve žrtve ransomwarea Magic pojavile su se na Redditu, a zatim i na forumima podrške Bleeping Computera. Još uvek nema informacija kako ovaj ransomware inficira računare.

Ono što se zna je da on dodaje ekstenziju .magic fajlovima koje šifruje, pa je zbog toga i dobio ime Magic.

Ransomware koristi AES enkripcijski algoritam, što znači da koristi isti ključ za šifrovanje i kasnije dešifrovanje fajlova. Nažalost, enkripcijski ključ nije sačuvan na inficiranim računarima već se šalje komandno-kontrolnom serveru.

Adresa servera može se izvući iz koda ransomwarea. C&C serveri su hostovani na besplatnom hosting servisu, ali neko je prijavio nalog autora ransomwarea, a većina besplatnih hosting servisa ne samo da suspenduje korisnike ako prekrše njihova pravila, već i briše njihove podatke.

To se dogodilo i enkripcijskim ključevima, što znači da šifrovane fajlove niko ne može da dešifruje više, čak ni autor ransomwarea Magic.

Utku Sen kaže da je njegov EDA2 ransomware projekat uključivao ne samo kod ransomwarea i instrukcije kako ga prilagoditi, već je reč o kompletnom alatu koji uključuje i admin panel gde se šalju svi enkripcijski ključevi.

Turski istraživač je želeo da u EDA2 ransomware stavi potpuno funckionalni enkripcijski modul, ali da ostavi backdoor u admin panelu, koji bi mu omogućio da pristupi bazi podataka i ukrade enkripcijske ključeve ako kriminalci ikada pomisle da iskoriste njegov EDA2 projekat.

S obzirom da su C&C serveri ugašeni, backdoor je potpuno beskoristan osim ako hosting provajder ne izvuče zeca iz šešira i nađe rezervnu kopiju podataka. U suprotnom, fajlovi koje je šifrovao Magic biće zauvek izgubljeni.

Stručnjaci sumnjaju da će se to dogoditi. Eksperiment turskog istraživača se pokazao kao loša ideja. On je imao dobre namere, jer su njegovi ransomwarei imali edukativnu svrhu, ali je sve pošlo po zlu kada su se u to umešali kriminalci.

Utku kaže da shvata da je pogrešio kada se odlučio da ostavi backdoor u admin panelu. On je uklonio sve fajlove EDA2 projekta, jer za sada još niko nije otkrio backdoor u EDA2, a on ga neće otkrivati jer se može desiti da u budućnosti vidimo nove primene EDA2.

“Žao mi je, ovog puta sam pogrešio”, kaže turski istraživač.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje