Dr.Web i Bitdefender odszyfrowują zaatakowane przez ransomware pliki

Sporo ostanio się dzieje w dziedzinie ransomware, złośliwegooprogramowania, szyfrującego dane użytkowników i żądającegookupu za jego odszyfrowanie. Cyberprzestępcy ulepszają metodyzastraszania, ukrywania swojej komunikacji, a nawet dobierają siędo Linuksa. Tym razem mamy jednak dla Was dobre wieści, dwie firmy zbranży bezpieczeństwa, rosyjski Dr.Web i rumuński BitDefenderpochwaliły się znaczącymi sukcesami w walce z tymi szkodnikami.Inna sprawa, że internauci już zaczynają się zastanawiać – ktofaktycznie stoi za falą ataków ransomware.

Zacznijmy od ransomware Vault, wykrywanego przez niektóreprogramy antywirusowe jako Trojan.Encoder. Jego najnowsza wersja(2843) rozprowadzana w Sieci od początku listopada poprzez masoworozsyłane e-maile zawierające złośliwy JavaScript. Po jegouruchomieniu do rejestru Windows dodawana jest zaszyfrowanabiblioteka DLL, a do procesu explorer.exe wstrzykiwany kod, służącydo załadowania biblioteki, odszyfrowania jej i uruchomienia funkcjimalware. Każdy plik zaatakowany przez Trojan.Encodera szyfrowanyjest za pomocą Blowfisha z wykorzystaniem unikatowego klucza iotrzymuje rozszerzenie .vault, zaś klucz sesji szyfrowany jest przezwindowsowe CryptoAPI za pomocą prywatnego klucza RSA.

Eksperci rosyjskiej firmy ogłosili teraz, że są w stanieodszyfrować pliki zaatakowane przez Vaulta. Zalecają ofiarom, byzawiadomiły policję, samemu niczego w komputerze nie robiły, niestosowały żadnych innych narzędzi, niczego nie kasowały – iskontaktowały się z wsparciem technicznym. Darmowa usługaodszyfrowująca jest faktycznie darmowa… ale wyłącznie dlaposiadaczy licencji na płatne wersje Dr.Weba. Należy przesłaćprzykładowe zaszyfrowane pliki, a także w miarę możliwości ichwersje oryginalne. Więcej szczegółów technicznych nie ujawniono.

Wszystko to wygląda dość dziwnie w świetle informacjipochodzących od rumuńskiego BitDefendera. Firma ta zajęła sięodkrytym niedawno właśnie przez Dr.Web robakiem Linux.Encoder.1,który ostatnio dał się we znaki właścicielom wielu sklepówinternetowych. Stosując techniki odwrotnej inżynierii, rumuńscybadacze odkryli, że wcale nie trzeba kupować od napastników kluczaRSA, pozwalającego na odszyfrowanie kluczy AES wykorzystanych dozaszyfrowania plików. Twórcy złośliwego oprogramowania popełnilibowiem podręcznikowy błąd – ich klucze szyfrujące i wektoryinicjujące szyfru AES nie są losowe.

Wykorzystano bowiem do ich generowania funkcję rand(), w którejziarnem generatora pseudolosowego był znacznik czasu utworzeniaplików. To pozwoliło na łatwe odtworzenie kluczy AES. BitDefenderudostępnił gotowy skrypt, który po uruchomieniu na zaatakowanymlinuksowym hoście odszyfruje wszystkie nasze pliki. Znajdziecie gonablogu BitDefender Labs (nie podajemy bezpośredniego linka, gdyżskrypt był już kilka razy zmieniany)

To nie jedyne osiągnięcie rumuńskiej firmy. Udało się jejstworzyć szczepionkęprzeciwko CryptoWallowi 4.0, pozwalającą na zablokowanie próbszyfrowania plików przez tego szkodnika. Co szczególnie istotne,zarówno skrypt deszyfrujący Linux.Encodera.1, jak i szczepionka naCryptoWalla 4.0 dostępne są dla każdego, za darmo. Swojeosiągnięcie ludzie z BitDefendera doprawili ciekawym odkryciem –otóż serwery CryptoWalla stoją w Rosji, i co ciekawe, nie atakująsamych Rosjan. Szkodnik przerywa proces szyfrowania, jeśli wykryje,że klawiatura ustawiona jest na rosyjski układ klawiszy.

Jak można się domyślić, wnioski internauci w tej kwestiiwysnuwają przeróżne.