Создатель шифровальщика Hidden Tear потерпел неудачу

Утку Сен, исследователь информационной безопасности из Турции, подвергался критике со стороны других экспертов из-за того, что «в образовательных и научных целях» разместил на GitHub исходный код программы-шифровальщика Hidden Tear. На базе открытого кода Сена была создана еще одна настоящая вредоносная программа, но теперь исследователь не может помочь пользователям, пострадавшим от действий преступников.

На прошлой неделе Утку Сен, создатель шифровальщика Hidden Tear, выяснил, что на основе его кода разработана настоящая вредоносная программа Ransom_Cryptear.B. Исследователь заявил, что контролирует ситуацию. По словам Сена, он специально оставил в своем коде бэкдор, с помощью которого позже жертвы злоумышленников могли бы восстановить зашифрованную информацию.

Как оказалось, на GitHub Сен разместил не только Hidden Tear. Он также опубликовал исходный код шифровальщика EDA2, оправдывая это теми же «образовательными целями». Хакеры создали на основе EDA2 свой шифровальщик, поскольку Сен разместил в открытом доступе как исходный код, так и подробные инструкции по его кастомизации, а также административную панель для вредоносного программного обеспечения.

В коде EDA2 также находился бэкдор, оставленный исследователем, но в этот раз Сен допустил ошибку.

Информация о первых пострадавших от использования нового шифровальщика, разработанного на основе EDA2, появилась в конце прошлой недели. Пользователи Reddit сообщили о программе, которая производит шифровку файлов и присваивает им расширение .magic.

Вредоносная программа, которая получила имя Magic, применяет алгоритм AES, то есть пользуется одним и тем же ключом для шифрования и расшифровки файлов. Этот ключ не сохраняется на компьютере пострадавшего пользователя, а пересылается на C&C-сервер, находящийся под контролем злоумышленников.

Адрес сервера может быть извлечен из кода шифровальщика, однако в некоторых случаях командные серверы могут располагаться на бесплатном хостинге. Так получилось и в случае с сервером хакеров, использующих Magic.

Когда администрация бесплатного хостинга получает жалобы на какую-либо учетную запись, то она не просто блокируется. Чаще всего всю информацию нарушителя удаляют, как это вышло и с ключами шифрования Magic.

Утку Сен объяснил в своем блоге, что им была допущена большая ошибка. EDA2 является полноценной работающей программой с настоящим модулем шифрования. Исследователь разместил бэкдор в административной панели вредоносной программы.

Сен считал, что бэкдор в панели управления даст ему возможность без труда заполучить доступ к базе данных злоумышленников, украсть у них ключи шифрования и спасти пострадавших от вредоносной программы. План Утку Сена имел один изъян: он не подумал о бесплатном хостинге.

Поскольку командные серверы создателей Magic были уничтожены провайдером бесплатного хостинга, бэкдор, оставленный исследователем, теперь бесполезен. Если провайдер не найдет сохраненные копии удаленных файлов, а это является маловероятным, то информация, принадлежащая жертвам вредоносной программы, будет навсегда утеряна, поскольку ключи были уничтожены.

По словам Сена, он понял свою ошибку, признал, что потерпел неудачу, и попросил прощения у всех, кто пострадал от его недальновидности. Отдав все на откуп преступников, он не позаботился о защите от ошибок. В качестве возможного, но уже запоздалого решения проблемы, исследователь предложил создание бэкдора, копирующего БД на другой сервер.

Сен удалил все файлы, связанные с EDA2. Поскольку бэкдор пока что никем не обнаружен, исследователь не стал его раскрывать, так как риск столкнуться в будущем с другими модификациями EDA2 сохраняется.