ProLock Ransomware-operatører sender defekte dekryptere til ofre, der betaler løsepenge

Som de fleste af jer sandsynligvis ved, oprettes ikke alle ransomware lige. Nogle familier er forfattere af unge, uerfarne hackere, der låner det meste af deres kode fra åbne depoter. Ofte laver de fejl under implementeringen af de enkelte komponenter, og de ender med ransomware-prøver, der ikke udgør så meget af en trussel. I modsætning hertil er andre filkrypterende malware-familier designet og bygget af sofistikerede team af hackere, der har en næsten ubegrænset mængde ressourcer.

ProLock er et relativt nyt navn på ransomware-scenen. Det har taget nogle overskrifter de sidste par måneder, og det vil være interessant at se, om det er en af de mere sofistikerede trusler, eller om det er blevet sammensat af en gruppe amatører.

ProLock - en alvorlig trussel mod organisationer i alle former og størrelser

Forskere fra Sophos besluttede for nylig at se nærmere på ProLock, efter at en af deres klienter blev ramt af det. Det blev øjeblikkeligt tydeligt, at det ikke er værket af de såkaldte script-barn.

I tilfælde af angrebet, som Sophos undersøgte, var det første indgangspunkt en dårlig konfigureret RDP-server, som hackerne udnyttede. Efter at have kompromitteret offeret, indsamlede de nogle flere oplysninger om det netværk, de var i, og de brugte senere en liste over stjålne legitimationsoplysninger til at bevæge sig hen over det. Selve ransomware-operationen begynder med placeringen af fire filer i værtens mappe% ProgramData%.

Der er et BMP-billede, en XML-fil og et par batchfiler. Den første batchfil opsætter en planlagt opgave ved hjælp af de parametre, der er indstillet i XML-dokumentet. Den planlagte opgave kører den anden batchfil, som igen udtrækker ransomware-nyttelasten, der er kodet i BMP-billedet ved hjælp af steganography.

Før kryptering af dataene afslutter ProLock visse processer for at sikre, at færre filer åbnes i krypteringsfasen. Når det er færdig med at krydse informationen, slipper ProLock en løsepenge-note komplet med et bruger-id og et link til et Tor-hostet websted, hvor ofrene kan få mere information om hackernes krav.

Indtil videre ser alt meget professionelt lavet og avanceret ud. Da forskerne kiggede på et par prøver, så de imidlertid, at selvom dele af koden var skræddersyet til individuelle ofre, var bruger-id'erne hardkodede og ikke var unikke. Dette var mærkeligt. Det, der dog var fremmed, var den måde, ProLock krypterer filer.

ProLocks dekryptere fungerer ikke

ProLock krypterer ikke filer, der er mindre end 8 KB. For dem, der er større, starter den krypteringsprocessen med den niende kilobyte. Som et resultat, hvis du åbner en fil, som ransomware allerede har krypteret, vil du se, at de første dele af den forbliver i læsbar form.

Sophos 'forskere mener, at dette er grunden til, at ProLocks dekryptere ikke fungerer. Der er rapporteret om defekte dekrypteringsprogrammer leveret af ProLock-operatørerne i et stykke tid nu, men dette er første gang, vi ser en teknisk forklaring af problemet. Sophos 'rapport antyder, at sikkerhedspecialister muligvis bare kan hente dataene efter at have ændret den defekte dekrypter, men de påpeger, at det ikke vil være billigt.

Det er endnu et bevis på, hvorfor du aldrig bør gøre forretninger med cyberkriminelle. Men nu, hvor vi alle ved, hvor problemet ligger, hvor sandsynligt er ProLock-operatørerne til at løse det?

Vil ProLock-banden fikse deres dekryptere?

Fra nu af ved potentielle ofre, der kan blive generet af at foretage en simpel Google-søgning, at selv hvis de betaler løsepenge, kan de muligvis ikke få deres data tilbage. De vil være mindre tilbøjelige til at samarbejde, og du tror måske, at dette kunne få ransomware-operatørerne til at opdatere deres krypteringsmekanisme og løse problemet. Sagen er, om dekrypteren fungerer eller ej kunne gøre en lille forskel for dem.

Fordi virksomheder nu opbevarer sikkerhedskopier af deres data, er betaling af løsepenge ikke længere den eneste måde at hente dem i tilfælde af et ransomware-angreb. Sidste år opdagede cyberkriminelle bander, der målrettede organisationer, at de har brug for et andet udpresningspunkt, og de begyndte at stjæle information inden de krypterede det. På den måde, når et offer nægter at betale for en dekrypterer, kan skurkerne true med at lække mange følsomme data. Masser af ransomware-besætninger har gjort det, og vi begynder nu at se, at det fungerer.

Sophos 'rapport siger, at ProLock-banden ikke har vedtaget strategien endnu, men den påpegede, at de kan gøre det når som helst. Organisationer, der kan målrettes efter denne særlige ransomware, skal være opmærksomme på truslen og skal tage de nødvendige forholdsregler for at styrke deres netværk.