Kako je eksperiment sa ransomwareima pošao po zlu: žrtve ransomwarea EDA2 ne mogu da vrate fajlove

Opisi virusa, 25.01.2016, 01:00 AM

Sajber kriminalci su iskoristili open-source kod ransomwarea EDA2 i napravili ransomware Magic, koji se od pre nekoliko dana koristi u napadima.

Ovo je drugi put da se ovako nešto dešava sa kodom ransomwarea čiji je autor turski istraživač Utku Sen, koji je iz edukativnih razloga objavio kodove dva svoja ransomwarea koje je nazvao Hidden Tear i EDA2.

Ransomware RANSOM_CRYPEAR.B koji je baziran na kodu Hidden Tear ransomwarea počeo je da se primenjuje u napadima pre dve nedelje.

Za žrtve RANSOM_CRYPEAR.B malvera priča je imala srećan kraj, jer je Utku Sen otkrio da je namerno ostavio grešku u enkripciji u kodu ransomwarea, kako bi se pomoglo žrtvama ako do toga dođe.

Nažalost, za žrtve ransomwarea Magic nema rešenja, jer nema načina da se njihovi fajlovi vrate, čak i ako plate otkup.

Prve žrtve ransomwarea Magic pojavile su se na Redditu, a zatim i na forumima podrške Bleeping Computera. Još uvek nema informacija kako ovaj ransomware inficira računare.

Ono što se zna je da on dodaje ekstenziju .magic fajlovima koje šifruje, pa je zbog toga i dobio ime Magic.

Ransomware koristi AES enkripcijski algoritam, što znači da koristi isti ključ za šifrovanje i kasnije dešifrovanje fajlova. Nažalost, enkripcijski ključ nije sačuvan na inficiranim računarima već se šalje komandno-kontrolnom serveru.

Adresa servera može se izvući iz koda ransomwarea. C&C serveri su hostovani na besplatnom hosting servisu, ali neko je prijavio nalog autora ransomwarea, a većina besplatnih hosting servisa ne samo da suspenduje korisnike ako prekrše njihova pravila, već i briše njihove podatke.

To se dogodilo i enkripcijskim ključevima, što znači da šifrovane fajlove niko ne može da dešifruje više, čak ni autor ransomwarea Magic.

Utku Sen kaže da je njegov EDA2 ransomware projekat uključivao ne samo kod ransomwarea i instrukcije kako ga prilagoditi, već je reč o kompletnom alatu koji uključuje i admin panel gde se šalju svi enkripcijski ključevi.

Turski istraživač je želeo da u EDA2 ransomware stavi potpuno funckionalni enkripcijski modul, ali da ostavi backdoor u admin panelu, koji bi mu omogućio da pristupi bazi podataka i ukrade enkripcijske ključeve ako kriminalci ikada pomisle da iskoriste njegov EDA2 projekat.

S obzirom da su C&C serveri ugašeni, backdoor je potpuno beskoristan osim ako hosting provajder ne izvuče zeca iz šešira i nađe rezervnu kopiju podataka. U suprotnom, fajlovi koje je šifrovao Magic biće zauvek izgubljeni.

Stručnjaci sumnjaju da će se to dogoditi. Eksperiment turskog istraživača se pokazao kao loša ideja. On je imao dobre namere, jer su njegovi ransomwarei imali edukativnu svrhu, ali je sve pošlo po zlu kada su se u to umešali kriminalci.

Utku kaže da shvata da je pogrešio kada se odlučio da ostavi backdoor u admin panelu. On je uklonio sve fajlove EDA2 projekta, jer za sada još niko nije otkrio backdoor u EDA2, a on ga neće otkrivati jer se može desiti da u budućnosti vidimo nove primene EDA2.

“Žao mi je, ovog puta sam pogrešio”, kaže turski istraživač.