ProLock Ransomware-operatørene sender feil dekryptere til ofre som betaler løsepenger

Som de fleste av dere sikkert vet, er ikke alle ransomware skapt like. Noen familier er forfattere av unge, uerfarne hackere som låner mesteparten av koden sin fra åpne depoter. Ofte gjør de feil under implementeringen av de enkelte komponentene, og de ender opp med ransomware-prøver som ikke utgjør så mye trussel. Derimot er andre filkrypterende malware-familier designet og bygget av sofistikerte team av hackere som har en nesten ubegrenset mengde ressurser.

ProLock er et relativt nytt navn på ransomware-scenen. Det har tatt tak i noen overskrifter de siste månedene, og det vil være interessant å se om det er en av de mer sofistikerte truslene eller om den er satt sammen av en gruppe amatører.

ProLock - en alvorlig trussel mot organisasjoner i alle størrelser og størrelser

Forskere fra Sophos bestemte seg nylig for å se nærmere på ProLock etter at en av kundene deres ble rammet av det. Det ble øyeblikkelig klart at det ikke er arbeidet med de såkalte manusbarnene.

I tilfelle angrepet Sophos etterforsket, var det opprinnelige inngangspunktet en dårlig konfigurert RDP-server som hackerne utnyttet. Etter å ha kompromittert offeret, samlet de litt mer informasjon om nettverket de var i, og de brukte senere en liste over stjålne legitimasjon for å bevege seg over det. Selve ransomware-operasjonen begynner med plassering av fire filer i vertsens% ProgramData% -mappe.

Det er et BMP-bilde, en XML-fil og et par batch-filer. Den første batch-filen setter opp en planlagt oppgave ved å bruke parametrene som er satt i XML-dokumentet. Den planlagte oppgaven kjører den andre batch-filen, som igjen trekker ut nyttelasten til ransomware som er kodet i BMP-bildet ved hjelp av steganography.

Før kryptering av dataene avslutter ProLock visse prosesser for å sikre at færre filer åpnes i løpet av krypteringsfasen. Når det er ferdig å krypre informasjonen, slipper ProLock løsepenger, komplett med en bruker-ID og en lenke til et Tor-hostet nettsted der ofrene kan få mer informasjon om hackernes krav.

Så langt ser alt veldig profesjonelt ut og avansert ut. Da forskerne så på noen få prøver, så de imidlertid at selv om deler av koden var skreddersydd til individuelle ofre, var bruker-ID-ene kodet og ikke unike. Dette var rart. Det som imidlertid var merkelig, var måten ProLock krypterer filer.

ProLocks dekryptere fungerer ikke

ProLock krypterer ikke filer som er mindre enn 8 KB. For de som er større, starter den krypteringsprosessen med den niende kilobyten. Som et resultat, hvis du åpner en fil som ransomware allerede har kryptert, vil du se at de første delene av den forblir i lesbar form.

Sophos 'forskere tror at dette er grunnen til at ProLocks dekryptere ikke fungerer. Det har vært rapportert om defekte dekrypteringsprogrammer levert av ProLock-operatørene i en periode nå, men dette er første gang vi ser en teknisk forklaring på problemet. Sophos 'rapport antyder at sikkerhetsspesialister kanskje bare kan hente dataene etter å ha endret den defekte dekrypteren, men de påpeker at det ikke vil være billig.

Det er enda et bevis på hvorfor du aldri skal gjøre forretninger med nettkriminelle. Men nå som vi alle vet hvor problemet ligger, hvor sannsynlig er det at ProLock-operatørene løser det?

Vil ProLock-gjengen fikse dekrypterne?

Fra nå av vil potensielle ofre som kan bli plaget med å gjøre et enkelt Google-søk, vite at selv om de betaler løsepenger, kan det hende at de ikke får dataene tilbake. Det vil være mindre sannsynlig at de samarbeider, og du kan tro at dette kan gjøre at ransomware-operatørene oppdaterer krypteringsmekanismen og fikser problemet. Saken er at om dekrypteren fungerer eller ikke kunne gjøre liten forskjell for dem.

Fordi selskaper nå holder sikkerhetskopi av dataene sine, er det ikke lenger å betale løsepenger den eneste måten å hente dem i tilfelle et ransomware-angrep. I fjor innså nettkriminelle gjenger som var målrettet mot organisasjoner at de trenger et annet utpressingspunkt, og de begynte å stjele informasjon før de krypterte det. På den måten, når et offer nekter å betale for en dekrypter, kan kjeltringene true med å lekke mange sensitive data. Mange ransomware-mannskaper har gjort det, og vi begynner nå å se at det fungerer.

Sophos 'rapport sier at ProLock-gjengen ikke har vedtatt strategien ennå, men den pekte på at de kan gjøre det når som helst. Organisasjoner som kan målrettes med denne spesielle ransomware, bør være klar over trusselen og må ta de nødvendige forholdsregler for å styrke nettverkene sine.