Специалистами Trend Micro была обнаружена новая вымогательская программа RANSOM_CRYPTEAR.B, для создания которой хакеры использовали чужой код, при этом его испортив.
Турецкая команда исследователей Otku Sen в августе прошлого года разместила на GitHub исходный код вымогательской вредоносной программы Hidden Tear, которая была создана исключительно в научных целях. Как пояснили в своем блоге авторы Hidden Tear, программа была ловушкой для тех хакеров, которые по причине своей лени решат воспользоваться кодом чужого вымогателя вместо того, чтобы написать собственный. По словам экспертов, в коде Hidden Tear они оставили брешь, позволяющую в случае необходимости без труда расшифровывать файлы потенциальных жертв.
Как сообщает компания Trend Micro, по крайней мере один хакер решил воспользоваться исходным кодом Hidden Tear. Специалистами компании было обнаружено вымогательское программное обеспечение RANSOM_CRYPTEAR.B. Создатели этой вредоносной программы в декабре минувшего года осуществили взлом неназванного парагвайского сайта. Злоумышленники использовали данный портал для перенаправления пользователей на поддельную страницу, на которой предлагалось загрузить обновление для Adobe Flash Player. Вместо обновления пользователь загружал и устанавливал на свой компьютер шифровальщик.
Программа RANSOM_CRYPTEAR.B основана на коде Hidden Tear, но хакеры внесли в него некоторые изменения. Так, шифровальщик заменяет обои рабочего стола на сообщение, содержащее требование выкупа на португальском языке.
Изменения в коде также коснулись ключей шифрования. Вместо того, чтобы отправить ключ шифрования на командный сервер, шифровальщик избавляется от него. Даже если некий бэкдор действительно был встроен в Hidden Tear исследователями из Otku Sen, то теперь от него нет никакой пользы. Расшифровка файлов без ключа попросту невозможна. Специалисты Trend Micro считают, что причина сложившейся ситуации кроется в халатности хакеров, которые допустили непреднамеренную ошибку.
Но даже если речь действительно идет об ошибке, а не о злом умысле, то это вряд ли расстроит мошенников, поскольку баг никоим образом не влияет на их деятельность.