История исследователя информационной безопасности из Турции Утку Сена, создавшего и опубликовавшего «в научно-образовательных целях» две вымогательские программы – Hidden Tear и EDA2, продолжается.
Не так давно хакеры путем шантажа заставили Сена удалить с GitHub программу Hidden Tear. Незадолго до того исследователь по своей инициативе убрал из открытого доступа все файлы, относящиеся к EDA2. Видимо, Сену следовало заняться этим гораздо раньше, поскольку, по данным экспертов из «Лаборатории Касперского», вредоносные программы Сена были использованы в качестве основы для создания как минимум 24 настоящих шифровальщиков.
Имя Утку Сена приобрело известность среди ИБ-экспертов после того, как выяснилось, что шифровальщики Ransom_Cryptear.B и Magic были созданы на базе разработок исследователя из Турции, размещенных им в открытом доступе. Сен взломал шифрование Ransom_Cryptear.B, поскольку он оставил в исходном коде бэкдор. Однако в случае со второй вредоносной программой Сен совершил ошибку, поскольку поместил бэкдор в панель управления EDA2, что сделало расшифровку, а значит и спасение файлов жертв программы Magic невозможным. Сену пришлось принести свои извинения всем пострадавшим и удалить с GitHub исходный код EDA2.
В конце января Утку Сен сам стал жертвой шантажа со стороны настоящих киберпреступников, потребовавших удалить с GitHub исходный код программы Hidden Tear. Исследователю удалось найти компромисс. Злоумышленники пообещали бесплатно восстановить файлы всех пользователей, пострадавших от Magic, а взамен Утку Сен убрал из открытого доступа Hidden Tear.
Сейчас выяснилось, что все, кто хотел скачать исходные коды разработок Сена, вероятно, успели это сделать задолго до их изъятия из публичного доступа. По словам экспертов «Лаборатории Касперского», на основе Hidden Tear было разработано по крайней мере 24 шифровальщика.
В частности, экспертами была зафиксирована вымогательская программа Trojan-Ransom.MSIL.Tear.c, которая шифрует только файлы, найденные на стационарных компьютерах.
Шифровальщик Trojan-Ransom.MSIL.Tear.f, известный также как KryptoLocker, вынуждает пользователей выходить на связь с создателями троянской программы через электронную почту и дезинформирует жертв относительно применяемого алгоритма шифрования.
Не все вредоносные программы, что были созданы на основе исходных кодов Утку Сена, корректно функционируют. Программы Trojan-Ransom.MSIL.Tear.n, Trojan-Ransom.MSIL.Tear.o, Trojan-Ransom.MSIL.Tear.p и Trojan-Ransom.MSIL.Tear.q осуществляют шифровку файлов, однако ключи шифрования никуда не сохраняются и не пересылаются. В итоге вся информация пострадавших оказывается навсегда утерянной.
Троянские программы Trojan-Ransom.MSIL.Tear.r, Trojan-Ransom.MSIL.Tear.s, Trojan-Ransom.MSIL.Tear.t, Trojan-Ransom.MSIL.Tear.u и Trojan-Ransom.MSIL.Tear.v отправляют ключи шифрования на сервер example.com. Видимо, создатели вирусов забыли ввести в коде домен подконтрольного им сервера и оставили значение, которое использовалось как пример. В данном случае все зашифрованные файлы тоже оказываются безвозвратно утерянными.
Утку Сен пока не дал каких-либо комментариев относительно отчета, представленного экспертами «Лаборатории Касперского».