Kako je eksperiment sa ransomwareima pošao po zlu: žrtve ransomwarea EDA2 ne mogu da vrate fajlove

Opisi virusa, 25.01.2016, 01:00 AM

Kako je eksperiment sa ransomwareima pošao po zlu: žrtve ransomwarea EDA2 ne mogu da vrate fajlove

Sajber kriminalci su iskoristili open-source kod ransomwarea EDA2 i napravili ransomware Magic, koji se od pre nekoliko dana koristi u napadima.

Ovo je drugi put da se ovako nešto dešava sa kodom ransomwarea čiji je autor turski istraživač Utku Sen, koji je iz edukativnih razloga objavio kodove dva svoja ransomwarea koje je nazvao Hidden Tear i EDA2.

Ransomware RANSOM_CRYPEAR.B koji je baziran na kodu Hidden Tear ransomwarea počeo je da se primenjuje u napadima pre dve nedelje.

Za žrtve RANSOM_CRYPEAR.B malvera priča je imala srećan kraj, jer je Utku Sen otkrio da je namerno ostavio grešku u enkripciji u kodu ransomwarea, kako bi se pomoglo žrtvama ako do toga dođe.

Nažalost, za žrtve ransomwarea Magic nema rešenja, jer nema načina da se njihovi fajlovi vrate, čak i ako plate otkup.

Prve žrtve ransomwarea Magic pojavile su se na Redditu, a zatim i na forumima podrške Bleeping Computera. Još uvek nema informacija kako ovaj ransomware inficira računare.

Ono što se zna je da on dodaje ekstenziju .magic fajlovima koje šifruje, pa je zbog toga i dobio ime Magic.

Ransomware koristi AES enkripcijski algoritam, što znači da koristi isti ključ za šifrovanje i kasnije dešifrovanje fajlova. Nažalost, enkripcijski ključ nije sačuvan na inficiranim računarima već se šalje komandno-kontrolnom serveru.

Adresa servera može se izvući iz koda ransomwarea. C&C serveri su hostovani na besplatnom hosting servisu, ali neko je prijavio nalog autora ransomwarea, a većina besplatnih hosting servisa ne samo da suspenduje korisnike ako prekrše njihova pravila, već i briše njihove podatke.

To se dogodilo i enkripcijskim ključevima, što znači da šifrovane fajlove niko ne može da dešifruje više, čak ni autor ransomwarea Magic.

Utku Sen kaže da je njegov EDA2 ransomware projekat uključivao ne samo kod ransomwarea i instrukcije kako ga prilagoditi, već je reč o kompletnom alatu koji uključuje i admin panel gde se šalju svi enkripcijski ključevi.

Turski istraživač je želeo da u EDA2 ransomware stavi potpuno funckionalni enkripcijski modul, ali da ostavi backdoor u admin panelu, koji bi mu omogućio da pristupi bazi podataka i ukrade enkripcijske ključeve ako kriminalci ikada pomisle da iskoriste njegov EDA2 projekat.

S obzirom da su C&C serveri ugašeni, backdoor je potpuno beskoristan osim ako hosting provajder ne izvuče zeca iz šešira i nađe rezervnu kopiju podataka. U suprotnom, fajlovi koje je šifrovao Magic biće zauvek izgubljeni.

Stručnjaci sumnjaju da će se to dogoditi. Eksperiment turskog istraživača se pokazao kao loša ideja. On je imao dobre namere, jer su njegovi ransomwarei imali edukativnu svrhu, ali je sve pošlo po zlu kada su se u to umešali kriminalci.

Utku kaže da shvata da je pogrešio kada se odlučio da ostavi backdoor u admin panelu. On je uklonio sve fajlove EDA2 projekta, jer za sada još niko nije otkrio backdoor u EDA2, a on ga neće otkrivati jer se može desiti da u budućnosti vidimo nove primene EDA2.

“Žao mi je, ovog puta sam pogrešio”, kaže turski istraživač.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar pr... Dalje

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. F... Dalje

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje