„ProLock Ransomware“ operatoriai siunčia netinkamus iššifruoklius aukoms, kurios moka „Ransomware“

Kaip tikriausiai dauguma iš jūsų žino, ne visos išpirkos programos yra sukurtos lygios. Kai kurių šeimų autoriai yra jauni, nepatyrę įsilaužėliai, kurie didžiąją dalį savo kodo skolinasi iš atvirų saugyklų. Dažnai jie padaro klaidų įgyvendindami atskirus komponentus ir galiausiai gauna išpirkos programų pavyzdžių, kurie nekelia tokios didelės grėsmės. Priešingai, kitas failus šifruojančias kenkėjiškų programų grupes suprojektavo ir sukūrė sudėtingos įsilaužėlių komandos, turinčios beveik neribotą išteklių kiekį.

„ProLock“ yra palyginti naujas vardas „ransomware“ scenoje. Pastaruosius keletą mėnesių buvo sugriebtos kai kurios antraštės, bus įdomu pamatyti, ar tai viena sudėtingesnių grėsmių, ar ją sukūrė grupė mėgėjų.

„ProLock“ - rimta grėsmė bet kokios formos ir dydžio organizacijoms

Neseniai „ Sophos“ tyrėjai nusprendė atidžiau pažvelgti į „ProLock“, kai vienas jų klientas nukentėjo. Iš karto tapo aišku, kad tai nėra vadinamųjų scenarijaus vaikinų darbas.

Ištirto išpuolio „Sophos“ atveju pradinis įėjimo taškas buvo blogai sukonfigūruotas KPP serveris, kurį įsilaužėliai išnaudojo. Padarę pavojų aukai, jie surinko daugiau informacijos apie tinklą, kuriame jie buvo, ir vėliau pasinaudojo pavogtų kredencialų sąrašu, norėdami pereiti per jį. Faktinė „ransomware“ operacija prasideda keturių failų įdėjimu pagrindinio kompiuterio aplanke% ProgramData%.

Yra BMP vaizdas, XML failas ir keletas paketinių failų. Pirmasis paketinis failas nustato numatytą užduotį, naudodamas parametrus, nustatytus XML dokumente. Suplanuota užduotis paleidžia antrą paketinį failą, kuris, savo ruožtu, naudodamas steganografiją, išgauna išpirkos programos naudingą apkrovą, užkoduotą BMP vaizde.

Prieš užšifruodama duomenis, „ProLock“ nutraukia tam tikrus procesus siekdama užtikrinti, kad šifravimo etape būtų atidaryta mažiau failų. Baigęs surasti informaciją, „ProLock“ numeta išpirkos raštelį su vartotojo ID ir nuoroda į „Tor“ priglobtą svetainę, kurioje aukos gali gauti daugiau informacijos apie įsilaužėlių reikalavimus.

Kol kas viskas atrodo labai profesionaliai padaryta ir pažengusi į priekį. Tačiau kai tyrėjai pažvelgė į kelis pavyzdžius, jie pamatė, kad nors kodo dalys buvo pritaikytos individualioms aukoms, Vartotojo ID buvo kietojo kodo ir nebuvo unikalūs. Tai buvo keista. Keista, tačiau tai, kaip „ProLock“ užšifruoja failus.

„ProLock“ dešifratoriai neveikia

„ProLock“ nešifruoja mažesnių nei 8 KB failų. Tiems, kurie yra didesni, jis pradeda šifravimo procesą su devintuoju kilobaitu. Todėl atidarę failą, kurį ransomware jau užšifravo, pamatysite, kad pirmosios jo dalys liko skaitomos.

„Sophos“ tyrėjai mano, kad tai yra priežastis, kodėl „ProLock“ dešifratoriai neveikia. Jau kurį laiką buvo pranešimų apie klaidingas iššifravimo programas, kurias teikia „ProLock“ operatoriai, tačiau tai yra pirmas kartas, kai matome techninį problemos paaiškinimą. „Sophos“ ataskaitoje teigiama, kad saugumo specialistai gali tiesiog sugebėti nuskaityti duomenis pakeisdami sugedusį iššifruoklį, tačiau jie pabrėžia, kad tai nebus pigu.

Tai dar vienas įrodymas, kodėl niekada neturėtumėte bendrauti su elektroniniais nusikaltėliais. Bet dabar, kai visi žinome, kur slypi problema, kiek tikėtina, kad „ProLock“ operatoriai ją išspręs?

Ar „ProLock“ gauja pataisys jų iššifruoklius?

Nuo šiol potencialios aukos, kurioms gali trukdyti atlikti paprastą „Google“ paiešką, žinos, kad net ir sumokėję išpirką, jie gali neatgauti savo duomenų. Jie bus mažiau linkę bendradarbiauti, ir jūs galite pamanyti, kad tai gali priversti „ransomware“ operatorius atnaujinti šifravimo mechanizmą ir išspręsti problemą. Svarbu tai, ar iššifruotojas dirba, ar ne, galėjo jiems mažai ką pakeisti.

Kadangi įmonės dabar saugo savo duomenų atsarginę kopiją, išpirkos mokėjimas nebėra vienintelis būdas ją susigrąžinti išpirkos programos užpuolimo atveju. Praėjusiais metais į organizacijas nukreiptos kibernetinės nusikalstamos grupuotės suprato, kad joms reikia antro turto prievartavimo taško, ir prieš pradėdamos šifruoti, jos pradėjo pavogti informaciją. Tokiu būdu, kai auka atsisako mokėti už iššifruotoją, sukčiai gali grasinti nutekėti daugybę neskelbtinų duomenų. Daugybė išpirkos programų ekipažų tai padarė, ir mes dabar pradedame pastebėti, kad ji veikia.

„Sophos“ pranešime sakoma, kad „ProLock“ gauja dar nepriėmė strategijos, tačiau ji vis dėlto pažymėjo, kad jie gali tai padaryti bet kada. Organizacijos, kurioms gali būti skirta ši išpirkos programinė įranga, turėtų žinoti apie grėsmę ir imtis reikiamų atsargumo priemonių savo tinklams sustiprinti.