Powstaje coraz więcej szyfrujących wirusów o bardzo niskiej jakości

Większość dużych grup przestępczych przeprowadzających ataki za pośrednictwem oprogramowania ransomware, dokłada wielu starań, aby ich malware było postrzegane nad wyraz poważnie. Najgroźniejsi napastnicy pieczołowicie opracowują procedury szyfrowania w taki sposób, aby osoby zwalczające wirusy miały jak największe trudności ze stworzeniem narzędzia deszyfrującego. Jednak zdarzają się tacy, którzy próbują skorzystać z rozwiązań cieszących się renomą w środowisku hakerów.   


Komunikat ten stosowany był w wielu odmianach krypto-ransomware, np. Power Worm, TeslaCrypt 2, Crypto Wall

Z informacji przedstawionych przez dział analityków złośliwego oprogramowania z firmy G Data wynika, że w ostatnim kwartale bieżącego roku pojawił się nowy trend. Wzrasta ilość nowych wariantów malware, z którego większość cechuje się niską jakością. To oznacza, że zawierają pewne luki, niepoprawne implementacje funkcji szyfrujących — zaszyfrowane pliki można rozszyfrować bez posługiwania się kluczem dostarczanym przez cyberprzestępców. Czasami, funkcje szyfrujące zastępowane są mechanizmami niszczenia plików bezpowrotnie. Ta druga opcja jest oczywiście o wiele gorsza dla zaatakowanego.

Osoby, które padały ofiarą ataku krypto-ransomware mogą próbować przywrócić pliki narzędziami opracowanymi przez firmę Emsisoft: https://decrypter.emsisoft.com

Ransomware open-source

Do najbardziej kuriozalnych wariantów jakie zostały stworzone to ransomware Hidden-Tear i powstałe na jego bazie ransomware Cryptear. Ta domiana szyfrującego oprogramowania bazuje na narzędziach open-source: "ransomware Hidden-Tear" lub jego następcy "EDA2". Kody źródłowe zostały udostępnione na portalu GitHub przez Utku Sena, badacza bezpieczeństwa, ale po pewnym czasie zostały porzucone. Ich proces szyfrowania zawiera błędy, co sprawia, że pliki można deszyfrować bez klucza. Obecnie istnieje 28 potwierdzonych wariantów Crypteara i liczne niedokumentowane odmiany, które nie były na tyle istotne, aby zwrócić na siebie uwagę mediów. 

Inny ransomware typu open source, czyli "my-Little-Ransomware" jest kolejnym przykładem malwaru o bardzo niskiej jakości. W tzw. in-the-wild, czyli w "środowisku naturalnym" występuje również bardzo duża ilość wirusów typu ransomware, który nie mają nic wspólnego z open-source. Najnowsze odmiany to Stampado (brał udział w naszym teście na ochronę przeciwko zagrożeniom krypto-ransomware), wariant Xorist nazywany XRat, wariant wirusa Detox określany jako Crypt0, a także NoobCrypt. Wszystkie znane odmiany NoobCrypt posługują się ustalonym „zahardkodowanym” w kodzie wirusa kluczem szyfrowania. 


Ten wariant wirusa szyfruje pliki lokalnym kluczem.

Należące odmiany krypto-ransomware do rodziny Xorist RansomWare, takie jak XRat, wykorzystują XOR z ustalonym kluczem wielkości (w przeciwieństwie do szyfru z kluczem jednorazowym). Ten rodzaj szyfrowania jest podatny na analizę częstotliwości i łamanie zabezpieczeń za pomocą ataku z wybranym tekstem jawnym. 


Kolejne ransomware "do odszyfrowania".

Open-source nie oznacza lepsze

Klucze Stampado można już od pierwszej dostępnej wersji deszyfrować posługując się atakami brute-force. Również najnowsze wersje nie stanowią pod tym względem żadnego wyjątku i istnieje możliwość ich rozszyfrowania w ten sam sposób.


Niezwykle aktywnym użytkownikiem w tej dziedzinie jest szef działu bezpieczeństwa w firmie Emsisoft.

Nie umiem programować, ale jestem przestępcą

Szczytem braku profesjonalnego podejścia do działań przestępczych była niedawna sytuacja, gdzie pewien anonimowy użytkownik — najprawdopodobniej członek grupy przestępców z nie największym ilorazem inteligencji, porosił Fabiana Wosara, szefa działu bezpieczeństwa producenta Emsisoft, o prawidłową implementację funkcji szyfrującej w krypto-ransomware bazującym na funkcjach dostarczanych przez CryptoAPI od firmy Microsoft.


W wolnym tłumaczeniu, przestępca wskazuje na Fabiana, że jest najlepszy w tym co robi, więc jeśli chce pomóc innym użytkownikom, powinien poprawić kod wirusa w taki sposób, aby odzyskanie plików było możliwe. 

Wydaje się, że ransomware staje się coraz bardziej lukratywnym biznesem, bowiem bez większego wysiłku można stworzyć własny malware lub po prostu skopiować rozwiązania znanych grup cyberprzestępczych. Zresztą ci ostatni robią wszystko, aby panowało powszechne przekonanie, że odzyskiwanie zaszyfrowanych plików jest niemożliwe, a jedynym wyjściem jest zapłacenie okupu. Dlatego większość ofiar tego typu ataków nie szuka innych rozwiązań.

Projekty open source typu Hidden Tear / EDA2 otworzyły furtkę słabiej wykwalifikowanym hakerom, którzy tworzą wadliwy ransomware. Ale taka sytuacja ma swoje zalety, osoby poszkodowane zaczynają sobie zdawać sprawę z niedociągnięć w bezpłatnym kodzie szkodliwego oprogramowania i zaczynają we własnym zakresie szukać sposobów odzyskiwania danych. 




Podobne artykuły

Do tej pory mieliśmy do czynienia z zagrożeniami z rodziny krypto-ransomware, które działały w...

Dodaj komentarz