ProLock Ransomware-operatörer skickar felaktiga dekrypterare till offer som betalar lösen

Som de flesta av er förmodligen vet är inte alla ransomware skapade lika. Vissa familjer är författade av unga, oerfarna hackare som lånar större delen av sin kod från öppna förvar. Ofta gör de misstag under implementeringen av de enskilda komponenterna, och de slutar med ransomware-prover som inte utgör så mycket av ett hot. Däremot är andra filkrypterande skadefamiljer designade och byggda av sofistikerade team av hackare som har en nästan obegränsad mängd resurser.

ProLock är ett relativt nytt namn på ransomware-scenen. Det har tagit några rubriker under de senaste månaderna, och det kommer att vara intressant att se om det är ett av de mer sofistikerade hoten eller om det har sammanställts av en grupp amatörer.

ProLock - ett allvarligt hot mot organisationer i alla former och storlekar

Forskare från Sophos beslutade nyligen att titta närmare på ProLock efter att en av deras kunder drabbades av det. Det visade sig omedelbart att det inte är arbetet med de så kallade manus-barnen.

När det gäller attacken som Sophos undersökte var den ursprungliga inresepunkten en dåligt konfigurerad RDP-server som hackarna utnyttjade. Efter att ha kompromitterat offret samlade de lite mer information om nätverket de befann sig i och de använde senare en lista med stulna referenser för att flytta över det. Den faktiska ransomware-operationen börjar med placering av fyra filer i värdens% ProgramData% -mapp.

Det finns en BMP-bild, en XML-fil och ett par batchfiler. Den första batchfilen skapar en schemalagd uppgift med hjälp av parametrarna i XML-dokumentet. Den schemalagda uppgiften kör den andra batchfilen, som i sin tur extraherar nyttolasten för ransomware som är kodad i BMP-bilden med hjälp av steganography.

Innan data krypteras avslutar ProLock vissa processer för att säkerställa att färre filer öppnas under krypteringssteget. När det är klart att kryptera informationen tappar ProLock en lösningsmeddelande komplett med ett användar-ID och en länk till en Tor-host-webbplats där offren kan få mer information om hackarens krav.

Hittills ser allt mycket professionellt och avancerat ut. När forskarna tittade på några prover såg de dock att även om delar av koden var skräddarsydda för enskilda offer, användar-ID: erna var hårkodade och inte var unika. Detta var konstigt. Det som var främst var hur ProLock krypterar filer.

ProLocks dekrypterare fungerar inte

ProLock krypterar inte filer som är mindre än 8KB. För de som är större startar den krypteringsprocessen med den nionde kilobyten. Som ett resultat, om du öppnar en fil som ransomware redan har krypterat ser du att de första delarna av den förblir i läsbar form.

Sophos forskare tror att detta är anledningen till att ProLocks dekrypterare inte fungerar. ProLock-operatörerna har rapporterat om felaktiga dekrypteringsprogram sedan ett tag, men det är första gången vi ser en teknisk förklaring av problemet. Sophos rapport tyder på att säkerhetsspecialister kanske bara kan hämta informationen efter att ha modifierat den felaktiga dekrypteraren, men de påpekar att det inte kommer att vara billigt.

Det är ännu ett bevis på varför du aldrig ska göra affärer med cyberbrottslingar. Men nu när vi alla vet var problemet ligger, hur troligt är ProLock-operatörerna att fixa det?

Kommer ProLock-gänget att fixa sina dekrypterare?

Från och med nu kommer potentiella offer som kan vara besvärade att göra en enkel Google-sökning att veta att även om de betalar lösen, kanske de inte får tillbaka sina uppgifter. Det är mindre troligt att de kommer att samarbeta, och du kanske tror att detta kan göra att ransomware-operatörerna uppdaterar sin krypteringsmekanism och löser problemet. Saken är, om dekrypteraren fungerar eller inte kan göra liten skillnad för dem.

Eftersom företag nu håller säkerhetskopieringar av sina data, är det inte längre det enda sättet att hämta dem i att lösa lösenordet vid en ransomware-attack. Förra året insåg cyberkriminella gäng som riktar sig till organisationer att de behöver en andra utpressningspunkt, och de började stjäla information innan de krypterade den. På så sätt, när ett offer vägrar att betala för en dekrypterare, kan skurkarna hota att läcka massor av känslig information. Massor av ransomware-besättningar har gjort det, och vi börjar nu se att det fungerar.

Sophos rapport säger att ProLock-gänget inte har antagit strategin än, men det påpekade att de kan göra det när som helst. Organisationer som kan riktas mot denna ransomware bör vara medvetna om hotet och måste vidta nödvändiga försiktighetsåtgärder för att stärka sina nätverk.