За последние пару дней ресурс ID Ransomware подвергся двум последовательным DDoS-атакам, ответственность за которые взял на себя создатель шифровальщика Enjey. По его заявлению, атаки — это месть за то, что создатель ID Ransomware, исследователь Майкл Гиллеспи (Michael Gillespie), смог разработать дешифратор для Enjey.

В результате первой волны атаки сайт не работал несколько часов: несмотря на то что DDoS была быстро нейтрализована, провайдер отключил сайт в целях предосторожности, восстановив работу через несколько часов после того, как атака была остановлена.

Автор Enjey объявил о том, что за атакой стоял он, в Твиттере. В переписке с Bleeping Computer он приложил скриншот части скрипта на C-Sharp, а также инициировал вторую, менее мощную волну атаки, чтобы доказать свою причастность. Во второй раз в ID Ransomware смогли отреагировать быстро, и веб-сайт продолжил работать как обычно.

Злоумышленник использовал нестандартный метод проведения DDoS-атаки. Ресурс ID Ransomware был создан для того, чтобы пользователи смогли определить тип шифровальщика, с которым они столкнулись, загрузив копию записки с требованием выкупа и копию одного зашифрованного файла. Создатель Enjey атаковал именно этот раздел сайта, поставив на загрузку в бесконечном цикле два файла. На пике атаки количество запросов на загрузку составило 200 тыс. в час, на втором этапе атаки — 20 тыс. за полчаса.

Мстительный вирусописатель заявил, что он был расстроен тем, что ID Ransomware идентифицировал разработанный им зловред, хотя, скорее всего, в большей степени его расстроил тот факт, что создатель сайта смог создать дешифратор к Enjey, созданному совсем недавно.

На самом деле Enjey — достаточно простой шифровальщик, о чем заявляли проанализировавшие его многочисленные исследователи. Процесс шифрования довольно примитивен и распространен: это алгоритм AES-256, который генерирует уникальный идентификатор для каждой жертвы и посылает его на удаленный сервер вместе с ключом шифрования.

Попутно зловред удаляет копии теневых томов, чтобы файлы невозможно было восстановить даже при помощи отката системы и программ для восстановления данных. Шифровальщик поражает практически все файлы, за исключением файлов в нескольких определенных директориях. К зашифрованным файлам добавляется расширение .encrypted.contact_here_me@india.com.enjey.

Теперь командный сервер Enjey отключен самим создателем, так как при наличии дешифратора дальнейшее распространение вымогателя не имеет смысла. Разработчик зловреда сообщил, что в настоящий момент работает над Enjey 2.0.

Категории: DoS-атаки, вредоносные программы, кибероборона

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *