A ProLock Ransomware operátorok hibás dekódolókat küldnek az áldozatoknak, akik fizetik a Ransomware-t

ProLock Ransomware Faulty Decryptor

Mint valószínűleg legtöbbjük tudja, nem minden ransomware készül egyenlő. Néhány családot fiatal, tapasztalatlan hackerek írták, akik kódjaik nagy részét nyitott tárolókból kölcsönzik. Gyakran hibákat követnek el az egyes összetevők végrehajtása során, és olyan ransomware mintákkal végződnek, amelyek nem jelentenek ilyen nagy veszélyt. Ezzel szemben a fájlokat titkosító rosszindulatú családok hackerek kifinomult csapatainak célja és építése éppen szinte korlátlan mennyiségű erőforrással rendelkezik.

A ProLock egy viszonylag új név a ransomware jelenetben. Az elmúlt néhány hónapban felcsapott néhány címsort, és érdekes lesz látni, hogy ez az egyik kifinomultabb fenyegetés, vagy egy amatőr csoport állította össze.

ProLock - súlyos fenyegetés bármilyen alakú és méretű szervezet számára

A Sophos kutatói nemrégiben úgy döntöttek, hogy közelebbről megvizsgálják a ProLock-ot, miután egyik ügyfelüket megütötte. Azonnal nyilvánvalóvá vált, hogy ez nem az úgynevezett forgatókönyv kiddies munkája.

A Sophos által vizsgált támadás esetén a kezdeti belépési pont egy rosszul konfigurált RDP szerver volt, amelyet a hackerek kihasználtak. Miután veszélyeztette az áldozatot, további információkat gyűjtöttek az általuk használt hálózatról, és később felhasználták az ellopott hitelesítő adatok listáját. A tényleges ransomware művelet négy fájl elhelyezésével kezdődik a gazdagép% ProgramData% mappájában.

Van BMP-kép, XML-fájl és néhány kötegelt fájl. Az első kötegfájl beállít egy ütemezett feladatot az XML dokumentumban megadott paraméterek felhasználásával. Az ütemezett feladat futtatja a második kötegelt fájlt, amely viszont kivonja a BMP-képbe kódolt ransomware hasznos terhelést szteganográfiával.

Az adatok titkosítása előtt a ProLock bizonyos folyamatokat leállít annak érdekében, hogy kevesebb fájl legyen nyitva a titkosítási szakaszban. Miután befejezte az információ begyűjtését, a ProLock eldob egy váltságdíj-feljegyzést, kiegészítve egy felhasználói azonosítóval és egy hivatkozással egy Tor-üzemeltetett webhelyre, ahol az áldozatok további információkat szerezhetnek a hackerek igényeiről.

Eddig minden úgy néz ki, hogy nagyon profi és fejlett. Amikor a kutatók néhány mintát megnéztek, láttak, hogy bár a kód egyes részeit az egyes áldozatok számára szabták, a felhasználói azonosítók keményen kódoltak és nem voltak egyediek. Ez furcsa volt. Ami furcsa volt, az a mód, ahogyan a ProLock titkosítja a fájlokat.

A ProLock dekódolói nem működnek

A ProLock nem titkosítja a 8 KB-nál kisebb fájlokat. A nagyobbiknál a kilencedik kilobájtnál elindítja a titkosítási folyamatot. Ennek eredményeként, ha megnyit egy fájlt, amelyet a ransomware már titkosított, látni fogja, hogy az első részek olvasható formában maradnak.

A Sophos kutatói szerint ez az oka annak, hogy a ProLock dekódolói nem működnek. Jelenleg beszámoltak a ProLock operátorok által nyújtott hibás visszafejtési programokról, de ez az első eset, amikor a probléma technikai magyarázatát látjuk. Sophos jelentése szerint a biztonsági szakemberek talán csak a hibás dekódoló módosítása után tudják visszavenni az adatokat, ám rámutatnak, hogy nem lesz olcsó.

Ez egy újabb bizonyíték arra, hogy miért nem szabad üzletet folytatni a számítógépes bűnözőkkel. De most, hogy mindannyian tudjuk, hol található a probléma, mennyire valószínű, hogy a ProLock operátorok kijavítják?

A ProLock banda javítja a dekódolóikat?

Mostantól kezdve azok a potenciális áldozatok, akiket meg lehet zavarni egy egyszerű Google-kereséssel, tudni fogják, hogy még ha fizetnek is a váltságdíjat, előfordulhat, hogy nem kapják meg adataikat. Kevésbé valószínű, hogy együttműködnek, és azt gondolhatja, hogy ez arra késztetheti a ransomware operátorokat, hogy frissítsék titkosítási mechanizmusukat, és kijavítsák a problémát. A helyzet az, hogy a dekódoló működik-e vagy sem, nem változtathatott nekik.

Mivel a cégek mostanában biztonsági másolatot készítenek adataikról, a váltságdíj kifizetése már nem az egyetlen módja annak, hogy megszerezzék azokat ransomware támadás esetén. Tavaly a szervezeteket célzó kiberbűnöző bandák rájöttek, hogy szükségük van egy második zsarolási pontra, és titkosításuk előtt elkezdtek információkat lopni. Ilyen módon, amikor az áldozat megtagadja a dekódoló fizetését, a csalók fenyegethetnek, hogy tonna érzékeny adatot szivárognak be. Rengeteg ransomware személyzet csinálta, és most megfigyeljük, hogy működik.

Sophos jelentése szerint a ProLock banda még nem fogadta el a stratégiát, de rámutatott, hogy bármikor megtehetik. Azoknak a szervezeteknek, amelyekre ez a meghatározott ransomware megcélozható, tisztában kell lenniük a fenyegetéssel, és meg kell tenniük a szükséges óvintézkedéseket hálózatuk megerősítéséhez.

July 30, 2020

Válaszolj