Киберпреступники, разработавшие вымогатель TeslaCrypt, прикрыли лавочку и опубликовали мастер-ключ, который позволяет восстановить все зашифрованные файлы.

Это грандиозная новость: в TeslaCrypt были вложены большие деньги и серьезные усилия. Со своего первого появления в феврале 2015 года этот зловред стал одним из самых результативных вымогателей в мире.

Исследователи из Bleeping Computer заметили, что распространение TeslaCrypt замедлилось, чтобы он уступил место вымогателю CryptXXX, хотя есть признаки, что за обоими зловредами стоят различные кибергруппировки. Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer рассказал, что исследователь из ESET попросил мастер-ключ на сайте поддержки TeslaCrypt, на что хакеры просто предоставили ему ключ со словами «Проект закрыт».

teslacrypt-closed

Эксперт из Bleeping Computer под ником BloodDolly взял этот ключ и обновил существующий дешифратор TeslaDecoder. Теперь дешифратор расшифровывает файлы, пострадавшие от TeslaCrypt 3.0 и 4.0, в том числе файлы с расширениями .xxx, .ttt, .micro и .mp3.

Если CryptXXX действительно станет излюбленным инструментом киберпреступников, у ИБ-специалистов может появиться возможность опередить хакеров. Эксплойт-паки, распространяющие Locky, например, сменили тактику и теперь раздают CryptXXX, который шифрует не только локальные файлы, но и резервные копии на подключенных внешних накопителях.

«До сих пор CryptXXX был весьма слабым вымогателем по сравнению с TeslaCrypt, — говорит  Абрамс. — Код TeslaCrypt был написан опытными хакерами с хорошим знанием криптографии. А в случае с CryptXXX для обеих доступных версий уже был разработан дешифратор«.

Эксперты из «Лаборатории Касперского» уже дважды обновляли дешифратор CryptXXX, так как злоумышленники переписали и обновили код, чтобы обойти первый дешифратор.

В своем блоге Bleeping Computer объяснили, как скачать и установить TeslaDecoder.

tesladecoder

Вначале TeslaCrypt в основном атаковал геймеров, находя и шифруя файлы, связанные с играми. Зловред быстро попал во все распространенные эксплойт-паки, в том числе Angler, и вскоре стал приносить своим клиентам огромные суммы, уплаченные в виде выкупа.

Технология шифрования TeslaCrypt довольно регулярно обновлялась, чтобы избежать внимания ИБ-аналитиков и пресечь попытки проанализировать криптографию и разработать дешифратор. В начале этого года ряд веб-сайтов, использующих движки WordPress и Joomla, были заражены эксплойт-паками вроде Nuclear и раздавали TeslaCrypt на компьютеры пользователей, посещавших инфицированные страницы.

В апреле исследователи Endgame Inc. обнаружили два различных обновления TeslaCrypt, содержащих новые техники обфускации и обхода систем безопасности, а также расширенный список типов файлов, подлежащих шифрованию.

Эта версия TeslaCrypt (4.1A) использовалась в масштабных кампаниях и распространялась через вредоносный спам, в том числе поддельные уведомления о недоставке посылки. Таким образом, TeslaCrypt перестал распространяться исключительно через эксплойт-паки.

При открытии вредоносного .zip-вложения в версии 4.1A запускался загрузчик на JavaScript; он использовал WScript (Windows Script Host), чтобы запустить бинарник TeslaCrypt из greetingsyoungqq[.]com/80.exe.

Исследователь Endgame Аманда Руссо (Amanda Rousseau) признала, что провести анализ зловреда был непросто: он запускал различные ответвления кода и техники дебаггинга, чтобы запутать антивирус. «Создатели очень старались спрятать некоторые строки кода в памяти, — сказала Руссо. — Детектирование зловреда превращается в трудную задачу для антивирусов, которые не сканируют память».

Вымогатели стали самой серьезной угрозой как для организаций, так и для конечных пользователей. Новые образцы вымогательского ПО вроде Locky и Petya появляются чуть ли не каждый день. Уже известно о нескольких атаках на крупные организации, в том числе на учреждения здравоохранения в Калифорнии, Кентукки и Вашингтоне, на казино, школы и правоохранительные органы.

Возможно, темпы распространения вымогателей в целом снизятся.

«Сейчас наиболее активно распространяется CryptXXX, и новые типы вымогателей появляются буквально каждый день», — сказал Абрамс.

Категории: Вредоносные программы, Главное