Разработчик вымогательской программы Hidden Tear, которая была создана в научных целях, выяснил, что на основе написанного им кода работает настоящий шифровальщик Ransom_Cryptear.B.
Несмотря на то, что настоящая вредоносная программа производит шифровку файлов жертв и избавляется при этом от ключей шифрования, информация пострадавших пользователей еще может быть спасена. Как утверждает создатель Hidden Tear, ему удалось осуществить взлом шифрования настоящей вредоносной программы и разобраться в проблеме.
Ранее сообщалось о том, что специалистами компании Trend Micro была обнаружена вымогательская программа Ransom_Cryptear.B, атакующая пользователей из Бразилии. Эксперты заинтересовались этим вирусом, так как он основан на исходном коде созданной в образовательных и научных целях программы Hidden Tear.
Разработчик Hidden Tear рассказывал в своем блоге, что данная программа была ловушкой для тех, кто решит позаимствовать код чужой вымогательской программы вместо того, чтобы написать собственный. По заверениям эксперта, в коде Hidden Tear была специально оставлена уязвимость, которая даст ему в случае необходимости возможность без труда расшифровать файлы потенциальных жертв.
Как оказалось, на основе Hidden Tear действительно была создана настоящая вымогательская программа – Ransom_Cryptear.B. Эта программа имеет одну интересную особенность: Ransom_Cryptear.B не отправляет ключ шифрования на командный сервер, а просто избавляется от него. Специалисты из Trend Micro сделали вывод, что в таком случае ни одна уязвимость в коде Hidden Tear не сможет спасти пользовательские данные, которые будут навсегда утеряны.
Видимо, разработчик Hidden Tear узнал об этой ситуации последним, что не помешало ему сразу же подключиться к поискам решения проблем. Сначала он проинформировал Trend Micro через Twitter о том, что Hidden Tear разработана не «группой турецких исследователей Отку Сен», а лишь одним независимым исследователем из Турции по имени Утку Сен. Также разработчик попросил у специалистов Trend Micro передать ему образец вредоносной программы, при этом попутно заметив, что, вероятнее всего, информация пострадавших пользователей может быть спасена. Видимо, до того момента сами представители Trend Micro не пробовали выйти на связь с создателем Hidden Tear.
Trend Micro так и не ответила Сену, но образец Ransom_Cryptear.B он все же получил, благодаря другому исследователю Йонатану Клийнсма.
В результате Утку Сен выяснил, что за основу Ransom_Cryptear.B хакерами была взята Hidden Tear Offline Edition, не требующая Интернет-подключения. Именно в этом, по словам Сена, была первопричина проблемы с ключами шифрования. Данная версия программы была создана для работы с флэш-накопителями, на которых в данном случае должны были сохраняться ключи шифрования. Программа не отправляла ключи на командный сервер, принадлежащий хакерам, так как она изначально не имела такой функции.
По словам Сена, бэкдор, оставленный им в своем коде, в данной ситуации актуален, поэтому информация пострадавших пользователей может быть восстановлена. Для этого из временных отметок зашифрованных файлов нужно собрать данные о ключе шифрования, чтобы затем воссоздать его. Разработчик также сказал, что сотрудники Trend Micro, видимо, даже не предпринимали попыток как-то решить проблему и восстановить зашифрованные файлы.
Исследователь пока не стал представлять готовый инструмент для расшифровки файлов, лишь описав в своем блоге в подробностях процесс воссоздания ключа и раскрыв информацию об уязвимости в Hidden Tear. Последнее, по мнению многих критиков турецкого исследователя, позволит злоумышленникам изменить код Hidden Tear, чтобы устранить уязвимость.