Репортеры сайта BleepingComputer выяснили, что стоит за публикацией ключей для вымогательской программы AES-NI.
На имя специалиста по информационной безопасности, известного как Thyrex, 21 мая пришло приватное сообщение на форуме от неизвестного пользователя. В сообщении была ссылка на ZIP-архив, которая якобы содержала ключи для восстановления файлов, затронутых в результате активности вымогательской программы AES-NI. Специалист убедился в том, что архив на самом деле состоит из дешифровальщика и 369 настоящих ключей, и обнародовал файлы на форуме BleepingComputer.
В попытке выяснить происхождение ключей и личность человека, отправившего файлы эксперту, репортеры BleepingComputer связались с создателем AES-NI. Именно он, как оказалось, и предоставил ключи в распоряжение Thyrex.
Автор вымогательской программы заявил, что ключи подходят для старой версии вымогательской программы, поддержкой которой раньше занимался его приятель, но на данный момент уже отошел от дел. Также создатель программы сказал, что намерен вовсе свернуть активность AES-NI и в будущем обнародовать остальные ключи. Позднее, автор AES-NI выполнил свое обещание.
Решение о прекращении работы шифровальщика создатель AES-NI принял после того, как в период с февраля по март текущего года кто-то украл исходный код AES-NI. В скором времени на основе похищенного исходного кода был разработан шифровальщик XData. Эксперты ESET обратили внимание на общие черты, имеющиеся у AES-NI и XData.
Примечательно, что в коде AES-NI существовало ограничение: вредоносная программа не инфицировала пользователей из России и государств СНГ. Обычно русскоговорящие хакеры стараются не атаковать своих соотечественников, а также не привлекать к себе внимание местных правоохранителей. Создатель AES-NI в данном случае столкнулся с проблемой: упомянутое ограничение было убрано из кода XData. Операторы XData выбрали в качестве своей главной цели жителей стран СНГ. В результате, автор AES-NI решил, что кто-то может пытаться подставить его, обвиняя в создании XData.
Разработчик AES-NI полностью свернул вредоносную активность: был обнародован мастер-ключ, который подходит для AES-NI, актуальность которого подтвердил ИБ-эксперт Якуб Крустек. В настоящее время жертвы AES-NI могут использовать дешифровальщик, разработанным самим хакером, либо подождать, пока специалисты Avast не выпустят бесплатную утилиту для восстановления пораженных файлов.