Операторы вымогателей ProLock отправляют ошибочные расшифровщики жертвам, которые платят выкуп

Как многие из вас, вероятно, знают, не все вымогатели созданы равными. Некоторые семьи созданы молодыми неопытными хакерами, которые берут большую часть своего кода из открытых репозиториев. Часто они допускают ошибки при внедрении отдельных компонентов, и в результате они получают образцы вымогателей, которые не представляют такой большой угрозы. Напротив, другие семейства вредоносных программ с шифрованием файлов разрабатываются и создаются опытными командами хакеров, обладающих практически неограниченным количеством ресурсов.

ProLock - относительно новое имя на сцене вымогателей. За последние несколько месяцев он захватил некоторые заголовки, и будет интересно посмотреть, является ли это одной из наиболее изощренных угроз или же она была составлена группой любителей.

ProLock - серьезная угроза организациям любых форм и размеров

Исследователи из Sophos недавно решили поближе познакомиться с ProLock после того, как один из их клиентов был поражен им. Сразу стало очевидно, что это не работа так называемых сценаристов детишек.

В случае атаки, которую расследовал Sophos, исходной точкой входа был плохо настроенный RDP-сервер, который использовали хакеры. После компрометации жертвы они собрали дополнительную информацию о сети, в которой они были, и позже использовали список украденных учетных данных для перемещения по ней. Фактическая операция вымогателей начинается с размещения четырех файлов в папке% ProgramData% хоста.

Есть изображение BMP, файл XML и пара пакетных файлов. Первый пакетный файл устанавливает запланированное задание, используя параметры, заданные в документе XML. Запланированная задача запускает второй пакетный файл, который, в свою очередь, извлекает полезную нагрузку вымогателей, которая закодирована в образе BMP с помощью стеганографии.

Перед шифрованием данных ProLock завершает определенные процессы, чтобы на этапе шифрования открывалось меньше файлов. Когда он завершает скремблирование информации, ProLock выдает записку с требованием выкупа, содержащую идентификатор пользователя и ссылку на веб-сайт Tor, где жертвы могут получить больше информации о требованиях хакеров.

Пока что все выглядит очень профессионально и продвинуто. Однако, когда исследователи просмотрели несколько образцов, они увидели, что, хотя части кода были адаптированы для отдельных жертв, идентификаторы пользователей были жестко закодированы и не были уникальными. Это было странно Однако странным было то, как ProLock шифрует файлы.

Расшифровщики ProLock не работают

ProLock не шифрует файлы размером менее 8 КБ. Для тех, кто больше, он начинает процесс шифрования с девятого килобайта. В результате, если вы откроете файл, который вымогатель уже зашифровал, вы увидите, что первые его части остаются в читаемой форме.

Исследователи Sophos считают, что именно по этой причине расшифровщики ProLock не работают. Некоторое время назад были сообщения о неисправных программах дешифрования, предоставляемых операторами ProLock, но мы впервые видим техническое объяснение проблемы. Отчет Sophos предполагает, что специалисты по безопасности могли бы просто получить данные после модификации неисправного расшифровщика, но они указывают, что это не будет дешевым.

Это еще одно доказательство того, что вы никогда не должны вести дела с киберпреступниками. Но теперь, когда мы все знаем, в чем проблема, какова вероятность того, что операторы ProLock смогут ее исправить?

Сможет ли банда ProLock исправить свои дешифровщики?

Отныне потенциальные жертвы, которые могли бы заняться простым поиском в Google, будут знать, что даже если они заплатят выкуп, они могут не получить свои данные обратно. Они с меньшей вероятностью будут сотрудничать, и вы можете подумать, что это может заставить операторов-вымогателей обновить свой механизм шифрования и устранить проблему. Дело в том, работает ли расшифровщик или нет, для них мало что может изменить.

Поскольку компании теперь хранят резервные копии своих данных, выплата выкупа уже не является единственным способом получить его в случае атаки вымогателей. В прошлом году киберпреступные банды, нацеленные на организации, поняли, что им нужно второе вымогательство, и начали кражу информации перед ее шифрованием. Таким образом, когда жертва отказывается платить за расшифровщик, мошенники могут угрожать утечкой тонны конфиденциальных данных. Много команд вымогателей сделали это, и теперь мы начинаем видеть, что это работает.

В отчете Sophos говорится, что банда ProLock еще не приняла эту стратегию, но указала, что они могут сделать это в любое время. Организации, на которые может быть нацелено это конкретное вымогательство, должны знать об угрозе и должны принимать необходимые меры предосторожности для укрепления своих сетей.