Китайская полиция арестовала злоумышленника, который стоит за атаками шифровальщика UNNAMED1989. Преступник оставил экспертам множество улик, в результате чего выследить его удалось в течение недели после первых инцидентов.

Троян-вымогатель UNNAMED1989 быстро распространялся по китайскому Интернету, начиная с 1 декабря. Всего за несколько дней он поразил более 100 тыс. пользователей, причем самый активный день записал на счет зловреда сразу 80 тыс. жертв.

По сообщениям экспертов, преступник получил такой охват, скомпрометировав SDK EasyLanguage, который используется во всех пораженных программах. Организатор кампании, 22-летний Ло Моумоу (Luo Moumou), встроил троян собственной разработки в 50 различных приложений, включая аддон к самому популярному в Китае мессенджеру QQ. Позднее появилась информация, что злоумышленник атаковал и других киберпреступников, которым продвигал свой продукт как банковский троян, скрывая его вымогательские функции.

Зловред шифрует пользовательские данные с применением XOR-функции и требует с жертв по 110 юаней в качестве выкупа (чуть больше 1000 руб.). В дополнение к этому UNNAMED1989 похищает аккаунты китайских онлайн-сервисов: Tmall, Aliwangwang, Alipay, 163 Mailbox, Baidu Cloud и Jingdong.

По словам экспертов, большинство жертв Моумоу не пользовались защитным ПО, из-за чего шифровальщик продолжал распространяться, даже когда антивирусные разработчики внесли его сигнатуры в свои базы.

Аналитики быстро определили личность преступника — уже в первые дни после всплеска атак им удалось установить его имя, номер мобильного и прочие данные. В ходе расследования они обнаружили два сервера с более чем 20 тыс. паролей к аккаунтам интернет-магазина Taobao и платежной системы Alipay. По словам специалистов, Моумоу допустил немало промахов, например, указал свою реальную информацию при регистрации доменов, которые позже использовал для приема платежей.

Преступник шифровал данные с применением простой функции, поэтому ИБ-эксперты смогли быстро создать декриптор. Примечательно, что в требовании выкупа Моумоу упоминал более стойкий шифр, нежели тот, что использовал на самом деле.

О низкой подготовке вымогателя говорит и то, что зловред фактически не мог исполнить угрозу и уничтожить пользовательские данные. В тексте говорилось, что ключ для расшифровки будет уничтожен по окончании периода ожидания — в реальности же он был вшит в код программы.

Как отметили журналисты, со стороны преступника также было ошибкой использовать WeChat — китайские правоохранители давно научились отслеживать преступников через этот сервис.

Категории: Вредоносные программы, Кибероборона