Błąd w kodzie ransomware Power Worm nie pozwala na odzyskanie danych – nawet po zapłaceniu okupu

12 listopada, 2015

Zwykle, gdy badacze bezpieczeństwa znajdują błąd w kodzie złośliwego oprogramowania, ostatnią rzeczą jaką chcą zrobić to poinformować o tym twórcę złośliwego kodu. Jakby nie było, czy błędy w złośliwym oprogramowaniu muszą być złe? Niestety nie jest to regułą, czego przykładem może być ransomware o nazwie Power Worm.

„Normalny” ransomware szyfruje pliki wyświetlając żądanie okupu (który w zależności od rejonu świata może wynosić nawet 1000$ wypłacanych w formie waluty Bitcoin) i sprawia, że dane są niedostępne (zaszyfrowane) dopóki użytkownik ich nie wykupi. W tym momencie twórcy ransomware trzymają pliki „w garści” i jedynym wyjściem jest zapłacenie okupu w celu uzyskania klucza, który odszyfruje pliki, bądź przywrócenie danych z kopii zapasowej.

Jednak, jak donosi raport Bleeping Computer, Power Worm ma jeden poważny błąd. Autor nowego wariantu tego zagrożenia chciał użyć tego samego losowego klucza do zaszyfrowania i odszyfrowania danych dla każdego zainfekowanego komputera. Taki skrót musiał miał sens – gdyby każdy miał ten sam klucz deszyfracji, mógłby ominąć konieczność tworzenia skomplikowanej strony płatności dla ofiar i wysyłania indywidualnego klucza do każdego z użytkowników. 

ranoomware Power Worm

Ale jeden błąd w kodzie Power Worm oznacza, że klucz losowy został użyty do szyfrowania danych wszystkich ofiar, jednocześnie nie zapisuje kluczy, które już wykorzystał, więc odzyskanie zaszyfrowanych danych jest niemożliwe. Okazuje się, że nawet złośliwe oprogramowanie może zawierać błędy tak samo jak każde legalne oprogramowanie, z tym wyjątkiem, że przestępcom nie zależy nawet na prawidłowym przetestowaniu oprogramowania przed wypuszczeniem go do sieci.

Co ciekawe, Bleeping Computer podjął niezwykły krok i postanowił poinformować autora ransomware, który zrobił błąd w kodzie:

„Na stronie Bleeping Computer nigdy nie ujawniamy błędów w infekcjach ransomware, nie informujemy dewelopera by poprawił błędy w swoim programie. Jednak w tym konkretnym wypadku apelujemy do twórcy, by mógł poprawić swój błąd i całkowicie nie niszczył danych swoich ofiar w przyszłości, ponieważ w tej chwili nie mają żadnych szans na odzyskanie swoich plików i danych, nawet po opłaceniu okupu.”

Agent FBI, Joseph Bonavolonta jest autorem kontrowersyjnej wypowiedzi, w której stwierdził, że w niektórych przypadkach ransomware jest tak sprawnie napisane, że najlepszym wyborem dla zaatakowanych firm może być ustąpienie szantażystom:

„Najłatwiejszym sposobem może być opłacenie okupu. Kwota pieniędzy zebranych przez tych przestępców jest ogromna, a to dlatego, że zdecydowana większość instytucji jest po prostu skłonna zapłacić okup.”

Pomimo, że można zrozumieć trudne sytuacje firm i użytkowników domowych, opłacenie okupu to przyzwolenie dla przestępców na podobne, dalsze działania. W wypadku zagrożenia Power Worm nie trzeba podejmować decyzji o opłaceniu okupu – nie pozwala one na odblokowanie plików użytkownika, dlatego naprawdę warto dbać o kopie zapasową najważniejszych plików.

źródło: Bitdefender

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]