Создатель вымогательской программы распространял свою разработку, замаскировав ее под кряк для игры Far Cry Primal. При этом он оставил ссылку на вредоносную программу в аннотации к видео на YouTube. После установки программа производила шифровку информации с помощью алгоритма AES и добавляла к файлам расширение .locked. За восстановление доступа к данным злоумышленник требовал 0,5 биткоина или 200 долларов.
Не считая того, что хакер решил осуществлять распространение своей разработки через YouTube, данная вымогательская программа не имеет каких-либо заметных отличий от других шифровальщиков.
Но внимание сразу нескольких экспертов в сфере информационной безопасности привлекло послание, которое хакер оставлял своим жертвам. Создатель вредоносной программы откровенно издевался над жертвами. В частности, он не без сарказма советовал пострадавшим в будущем использовать антивирусное программное обеспечение и игнорировать подозрительные файлы. Также хакер писал, что потерпевшие должны быть ему благодарны, поскольку он лишь просит у них деньги, а мог бы просто уничтожить их информацию или вовсе оказаться членом организации «Исламское государство» (запрещена на территории РФ) и использовать их денежные средства для подготовки терактов. Создатель вредоносной программы оправдывал свои действия тем, что ему также нужно на что-то жить.
По словам злоумышленника, его не смогут найти ни сами жертвы, ни полиция. Хакер угрожал, что в том случае, если потерпевшие предоставят полицейским доступ к своим компьютерам, то он уничтожит информацию. В своем послании киберпреступник также подчеркнул, что он занимается вымогательством в течение 5 лет, а его шифрование не сможет взломать даже АНБ.
Своими словами хакер возмутил некоторых экспертов в сфере информационной безопасности, которые смогли оперативно выяснить, что шифровальщик создан на основе экспериментальной вредоносной программы EDA2, которая была разработана исследователем Утку Сеном и размещена на GitHub. Позже он был вынужден убрать ее из открытого доступа. Сен оставил в коде шифровальщика бэкдор, поскольку не хотел причинять вреда своей разработкой.
Ранее сообщалось, что бэкдор Сена оказался бесполезным, поскольку исследователь внедрил его в панель управления EDA2. Однако наглый вымогатель, вероятно, не знал о существовании бэкдора.
Несколько экспертов, желавших воспользоваться бэкдором, обратились к Сену за помощью, и он не отказал. Сен легко проник на командный сервер хакера, забрал все ключи шифрования, общее количество которых составляло 656, и опубликовал их на Dropbox. Лишь три пользователя, пострадавших от действий вредоносной программы, успели выплатить хакеру деньги.
Исследователи выяснили, что киберпреступник, по всей видимости, проживает в Польше, и намереваются предоставить всю имеющуюся у них информацию правоохранителям.