Вымогатель Jigsaw, появившийся четыре месяца назад, снова побежден аналитиками. Зловред, вызывающий неоднозначные эмоции жутковатым изображением и зловещим табло с красными цифрами, отображающими обратный отсчет, неидеален: оказывается, требование о выкупе можно обойти, «поколдовав» с кодом шифровальщика и заставив программу «думать», что выкуп уже уплачен.

Исследователи Check Point опубликовали «лекарство» для жертв Jigsaw. Свое название вымогатель получил благодаря использованию образа «куклы Билли» из ужастика «Пила». Jigsaw угрожает удалить тысячи файлов, если жертва не уплатит 0,4 биткойна (примерно $150). Каждая перезагрузка системы «стоит» пользователю тысячи удаленных файлов.

Вымогатель остается в системе, несмотря на то что существует целый ряд дешифраторов, способных спасти файлы. Компания Check Point, опубликовавшая отчет на прошлой неделе, нашла механизм, который зловред использует для проверки статуса оплаты.

«Когда пользователь нажимает кнопку «Я заплатил, теперь верните мне мои файлы!» («I made a payment, now give me back my files!»), программа отправляет по HTTP GET-запрос на btc.blockr[.]io/api/v1/address/balance/, — пишут специалисты Check Point. — Мы подумали: а что, если мы изменим содержание запроса, чтобы он ссылался на другой кошелек — например, на тот, на котором лежит достаточно биткойнов для дешифровки? Или (что даже лучше) изменим ответ таким образом, чтобы программа «решила», что у нас есть нужное количество биткойнов?»

Эксперимент удался. «Изменив «баланс» в ответе с 0 до 10, мы добились того, чтобы зловред «решил», что выкуп уплачен, и начал дешифровку файлов и удаление самого себя с компьютера», — рассказали в Check Point.

До сих пор неясно, известно ли вирусописателям об этом изъяне в вымогателе, ведь большинство жертв выплачивают выкуп сразу, не пытаясь найти способы обойти шифровальщика. Как известно из прошлых инцидентов, такие мелкие неприятности злоумышленников не останавливают.

Всего через несколько дней после того, как Jigsaw дебютировал itw, эксперты из MalwareHunterTeam, а также исследователи Майкл Гиллеспи (Michael Gillespie) и Лоуренс Абрамс (Lawrence Abrams) разработали дешифратор, позволяющий восстановить файлы бесплатно.

Разработчики Jigsaw в ответ модифицировали код, чтобы страница с требованием выкупа каждый раз отображала различные картинки — например, из компьютерной игры Hitman, видеоклипа Invisible Empire, а также порно или изображение маски Гая Фокса, которую используют члены сообщества Anonymous.

Но какова бы ни была каждая инкарнация Jigsaw, обойти требования выкупа достаточно легко.

Абрамс, владелец веб-сайта BleepingComputer, тем не менее утверждает, что, даже учитывая скудные ресурсы создателей кода Jigsaw, этот вымогатель — все еще серьезная угроза.

«Если вы не понимаете, что происходит, Jigsaw может нанести серьезный вред вашему компьютеру до того, как вы разберетесь, как справиться с шифрованием», — пишет Абрамс.

Лотем Финкельстин (Lotem Finkelsteen), глава по изучению угроз в Check Point, считает, что Jigsaw еще не скоро исчезнет с горизонта. «Даже выпуск дешифратора не остановил создателей Jigsaw, и они смогли создать и адаптировать новые версии вымогателя», — подчеркнул эксперт.

Категории: Аналитика, Вредоносные программы, Кибероборона