Около месяца назад в открытый доступ был выложен мастер-ключ для TeslaCrypt, что положило конец этому успешному вымогательскому проекту. За истекший период было создано несколько декрипторов, способных расшифровывать файлы, полоненные TeslaCrypt. Так, «Лаборатория Касперского» обновила свою утилиту Rakhni, добавив в нее декриптор для Bitman (TeslaCrypt) версий 3 и 4. На прошлой неделе аналогичное обновление произвела Cisco; ее специализированный инструмент теперь пригоден для всех версий этого криптоблокера, коих было выпущено четыре.

По свидетельству старшего аналитика из Cisco Talos Эрла Картера (Earl Carter), мастер-ключ, опубликованный 19 мая, использовался для восстановления файлов, зашифрованных TeslaCrypt версий 3 и 4. «Мы не уверены, что [мастер-ключ] работает на предыдущих версиях, — комментирует исследователь. — Версия 2 оказалась дефектной и была успешно взломана, вдобавок у нас был декриптор для первоначального варианта. Все эти разнородные декрипторы предполагали, что пользователь сам определит, какой версией зловреда он поражен, и выберет нужный декриптор. Мы обновили исходный инструмент с тем, чтобы он охватывал все возможные версии».

Причина, по которой операторы TeslaCrypt решили закрыть свой проект, до сих пор остается загадкой. Атаки вымогательского ПО на бизнес-структуры и индивидуальных пользователей не стихают; лишь за первый квартал их инициаторы, по оценке ФБР, совокупно выручили более $200 млн в виде выкупа, и к концу года эта цифра может возрасти до миллиарда. Тем не менее TeslaCrypt, как один из участников этой прибыльной схемы, оказался не без недостатков, которые почти с самого начала позволяли исследователям отыскивать в коде ключи для расшифровки и строить утилиты в помощь жертвам заражения.

Таким образом, началась игра в кошки-мышки: злоумышленники ужесточали шифрование в своих детищах, а исследователи копали глубже, чтобы найти противоядие. «Некоторые из них применяют симметричное шифрование, и в этом случае можно на месте найти ключ и расшифровать файлы, — говорит Картер. — Другие используют инфраструктуру PKI, и вернуть файлы в данном случае сложнее, прежде всего потому, что ключ не хранится на зараженной машине».

Как только создается декриптор для одной из вариаций, другие исследователи тоже начинают активизировать усилия на этом направлении. Вполне возможно, в этом и кроется причина прекращения операций TeslaCrypt.

«Вымогательское ПО — доходный бизнес, и каждый участник стремится получить свой кусок пирога, — отметил Картер. — Поскольку все версии [TeslaCrypt] были в итоге взломаны, складывается впечатление, что они не были столь рентабельными, как хотелось бы их хозяевам. Судить об этом, конечно, трудно, у нас нет реальных доказательств. Но на первый взгляд все выглядит именно так. Препарирование их софта неизменно оканчивалось успехом, доходы не оправдывали ожиданий, и в итоге они махнули рукой на этот проект».

Мастер-ключ TeslaCrypt был опубликован на форуме сайта его техподдержки после того, как исследователь из ESET обнаружил признаки сворачивания операций и попросил ключ у его участников. На смену TeslaCrypt может прийти CryptXXX, который, по свидетельству BleepingComputer, уже раздается через популярные эксплойт-паки. Некоторые ИБ-компании, в том числе «Лаборатория Касперского», пристально следят за развитием CryptXXX и даже создали декрипторы для его ранних версий.

Система шифрования, реализованная в TeslaCrypt, регулярно обновлялась, чтобы у исследователей не оставалось шанса на взлом. В начале текущего года данный зловред распространялся с помощью WordPress- и Joomla-редиректоров и эксплойт-пака Nuclear. В апреле исследователи из Endgame обнаружили два новых сэмпла криптоблокера, снабженных дополнительными средствами обфускации и сокрытия, а также более длинным списком файловых расширений. На тот момент TeslaCrypt уже раздавался через спам-рассылки.

«Эксплойт-паки начали загружать вымогателей вместо кейлоггеров и мошеннических кликеров, — резюмирует Картер. — Комбинация эксплойт-пака и вредоносной рекламы значительно облегчила задачу атакующим».

Категории: Вредоносные программы, Кибероборона