Operatorzy ProLock Ransomware wysyłają wadliwe deszyfratory do ofiar, które płacą okup

Jak zapewne większość z was wie, nie wszystkie ransomware są sobie równe. Niektóre rodziny są tworzone przez młodych, niedoświadczonych hakerów, którzy pożyczają większość swojego kodu z otwartych repozytoriów. Często popełniają błędy podczas wdrażania poszczególnych komponentów i kończą na próbkach oprogramowania ransomware, które nie stanowią większego zagrożenia. Z kolei inne rodziny szkodliwego oprogramowania szyfrującego pliki są projektowane i tworzone przez wyrafinowane zespoły hakerów, którzy dysponują niemal nieograniczoną ilością zasobów.

ProLock to stosunkowo nowa nazwa na scenie ransomware. Od kilku miesięcy pojawia się na pierwszych stronach gazet i ciekawie będzie zobaczyć, czy jest to jedno z bardziej wyrafinowanych zagrożeń, czy też zostało stworzone przez grupę amatorów.

ProLock - poważne zagrożenie dla organizacji o różnych kształtach i rozmiarach

Naukowcy z Sophos postanowili niedawno przyjrzeć się ProLockowi po tym, jak uderzył nim jeden z ich klientów. Od razu stało się jasne, że to nie jest dzieło tak zwanych dzieciaków ze scenariuszy.

W przypadku ataku badanego przez Sophos początkowym punktem wejścia był źle skonfigurowany serwer RDP, który wykorzystali hakerzy. Po włamaniu do ofiary zebrali więcej informacji o sieci, w której się znajdowali, a później wykorzystali listę skradzionych danych uwierzytelniających, aby się po niej poruszać. Właściwa operacja ransomware rozpoczyna się od umieszczenia czterech plików w folderze% ProgramData% hosta.

Jest obraz BMP, plik XML i kilka plików wsadowych. Pierwszy plik wsadowy konfiguruje zaplanowane zadanie przy użyciu parametrów ustawionych w dokumencie XML. Zaplanowane zadanie uruchamia drugi plik wsadowy, który z kolei wyodrębnia ładunek oprogramowania ransomware zakodowany w obrazie BMP przy użyciu steganografii.

Przed zaszyfrowaniem danych, ProLock kończy określone procesy, aby mieć pewność, że na etapie szyfrowania otwieranych jest mniej plików. Po zakończeniu zaszyfrowania informacji ProLock upuszcza żądanie okupu wraz z identyfikatorem użytkownika i odsyłaczem do witryny hostowanej przez Tor, gdzie ofiary mogą uzyskać więcej informacji na temat żądań hakerów.

Jak dotąd wszystko wygląda na bardzo profesjonalnie wykonane i zaawansowane. Kiedy badacze przyjrzeli się kilku próbkom, zauważyli jednak, że chociaż części kodu były dostosowane do indywidualnych ofiar, identyfikatory użytkowników były zakodowane na stałe i nie były unikalne. To było dziwne. Jednak dziwniejszy był sposób, w jaki ProLock szyfruje pliki.

Deszyfratory ProLock nie działają

ProLock nie szyfruje plików mniejszych niż 8 KB. W przypadku większych zaczyna proces szyfrowania od dziewiątego kilobajta. W rezultacie, jeśli otworzysz plik, który ransomware już zaszyfrował, zobaczysz, że pierwsze jego części pozostają w czytelnej formie.

Naukowcy Sophos uważają, że to jest powód, dla którego deszyfratory ProLock nie działają. Od jakiegoś czasu pojawiają się doniesienia o błędnych programach deszyfrujących dostarczanych przez operatorów ProLock, ale po raz pierwszy widzimy techniczne wyjaśnienie problemu. Raport Sophos sugeruje, że specjaliści ds. Bezpieczeństwa mogą po prostu odzyskać dane po zmodyfikowaniu wadliwego dekryptera, ale wskazują, że nie będzie to tanie.

To kolejny dowód na to, że nigdy nie powinieneś robić interesów z cyberprzestępcami. Ale teraz, kiedy wszyscy wiemy, na czym polega problem, jakie jest prawdopodobieństwo, że operatorzy ProLock go naprawią?

Czy gang ProLock naprawi swoje deszyfratory?

Odtąd potencjalne ofiary, którym może przeszkadzać proste wyszukiwanie w Google, będą wiedzieć, że nawet jeśli zapłacą okup, mogą nie odzyskać swoich danych. Będzie mniej prawdopodobne, że będą współpracować i możesz pomyśleć, że może to zmusić operatorów ransomware do zaktualizowania mechanizmu szyfrowania i rozwiązania problemu. Rzecz w tym, że to, czy deszyfrator działa, czy nie, nie ma dla nich większego znaczenia.

Ponieważ firmy przechowują teraz kopie zapasowe swoich danych, zapłacenie okupu nie jest już jedynym sposobem ich odzyskania w przypadku ataku ransomware. W zeszłym roku gangi cyberprzestępców atakujące organizacje zdały sobie sprawę, że potrzebują drugiego punktu wymuszenia i zaczęły kraść informacje przed ich zaszyfrowaniem. W ten sposób, gdy ofiara odmawia zapłaty za deszyfrator, oszuści mogą zagrozić wyciekiem ton wrażliwych danych. Zrobiło to wiele ekip ransomware i zaczynamy teraz widzieć, że to działa.

Raport Sophos mówi, że gang ProLock nie przyjął jeszcze strategii, ale wskazał, że mogą to zrobić w dowolnym momencie. Organizacje, które mogą być celem tego konkretnego oprogramowania ransomware, powinny być świadome zagrożenia i muszą podjąć niezbędne środki ostrożności w celu wzmocnienia swoich sieci.