Startup Magazine

Artykuły

Coraz więcej ransomwaru niskiej jakości

Redakcja

Większość dużych firm przestępczych, przeprowadzających ataki za pośrednictwem ransomwaru, dokłada wielu starań, aby ich malware był postrzegany nad wyraz poważnie. Przykładem mogą być ludzie z grupy Cerber znani z doskonałej obsługi klienta.

Najgroźniejsi napastnicy pieczołowicie opracowują procedury szyfrowania w taki sposób, aby osoby zwalczające malware miały jak największe trudności ze stworzeniem narzędzia deszyfrującego zainfekowane pliki. Są też grupy próbujące skorzystać z rozwiązań cieszących się renomą w środowisku hakerów i kopiujące np. Power Worm, TeslaCrypt 2, Crypto Wall. 

W ostatnim kwartale bieżącego roku pojawił się nowy trend. Rośnie ilość nowych wariantów malwaru, z których większość cechuje się niską jakością. To oznacza, że zawierają pewne luki i można je rozszyfrować bez posługiwania się kluczem dostarczanym przez cyberprzestępców lub zwyczajnie niszczą pliki bezpowrotnie. Ta druga opcja jest oczywiście o wiele gorsza dla zaatakowanego.

Przede wszystkim przyczyniają się do tego nowe warianty malwaru z grupy Cryptear. Członkowie tej  rodziny szkodliwego oprogramowania bazują na narzędziach open source ransomware Hidden-Tear lub jego następcy EDA2. Kody źródłowe udostępnił na portalu GitHub Utku Sen, badacz bezpieczeństwa. Następnie zostały one porzucone. Proces szyfrowania zawiera błędy, co sprawia, że pliki można deszyfrować bez klucza. Obecnie istnieje 28 potwierdzonych wariantów Crypteara i liczne niedokumentowane odmiany, które nie były na tyle istotne, aby zwrócić na siebie uwagę mediów. Jeden z nowych wariantów Crypteara dołącza rozszerzenie locklock do zaszyfrowanych plików i zaadoptował wady z oryginalnego kodu źródłowego. 

[SHA256:e3d1ea550ecc6c135e729ae2c05ac59ff95991ccbaa3ff90c55b9b7ad258276a]

Inny ransomware typu open source my-Little-Ransomware jest kolejnym przykładem malwaru niskiej jakości. Ale występuje również bardzo duża ilość ransomwaru, który nie ma nic wspólnego z open source. Najnowsze odmiany to Stampado, wariant Xorist nazywany XRat, wariant wirusa Detox określany jako Crypt0, a także NoobCrypt.

Wszystkie znane odmiany NoobCrypt posługują się ustalonym „hardkodowanym” kluczem szyfrowania. 

Członkowie rodziny Xorist RansomWare, tacy jak XRat wykorzystują XOR z ustalonym kluczem wielkości (w przeciwieństwie do szyfru z kluczem jednorazowym). Ten rodzaj szyfrowania jest podatny na analizę częstotliwości i łamanie zabezpieczeń za pomocą ataku z wybranym tekstem jawnym. 

Klucze Estampados można już od pierwszej dostępnej wersji, deszyfrować posługując się atakami brute force. Również najnowsze wersje nie stanowią pod tym względem żadnego wyjątku i istnieje możliwość ich rozszyfrowania w ten sam sposób.

Przykład
886f7ceded832615e7280445ab0fbbdfcf2493572effb4e36480e81873af180d].

Dotyczy on również rozszerzenia plików, które są stosowane przez inne rodziny ransomware.

Crypt0 posiada wirusa, który może być kilkakrotnie dołączony do nazwy pliku. W rezultacie przedstawia się to w ten sposób "HELP_DECRYPT.TXTHELP_DECRYPT.TXT" . Crypt0 może być również deszyfrowany.

Wydaje się, że ransomware staje się coraz bardziej lukratywnym biznesem, bowiem bez większego wysiłku można stworzyć własny malware lub po prostu skopiować rozwiązania znanych grup cyberprzestępczych. Zresztą ci ostatni robią wszystko, aby panowało powszechne przekonanie, że odzyskiwanie zaszyfrowanych plików jest niemożliwe, a jedynym wyjściem jest zapłacenie okupu. Dlatego większość ofiar tego typu ataków nie szuka innych rozwiązań. 

Projekty open source typu Hidden Tear / EDA2 otworzyły furtkę słabiej wykwalifikowanym hakerom, którzy tworzą wadliwy ransomware. Ale taka sytuacja ma swoje zalety, osoby poszkodowane zaczynają sobie zdawać sprawę z niedociągnięć w malwarze i zaczynają we własnym zakresie szukać sposobów odzyskiwania danych. 

Startup MagazineComment