Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вымогатель PowerWare старательно копировал Locky, но его шифрование все равно взломали

Вымогатель PowerWare старательно копировал Locky, но его шифрование все равно взломали

Вымогатель PowerWare старательно копировал Locky, но его шифрование все равно взломали


25.07.2016



Начиная с самых первых версий, вымогатель PowerWare пытался замаскироваться под представителя других семейств малвари. К примеру, ранее он уже имитировал CryptoWall и TeslaCrypt. Исследователи Palo Alto Networks сообщают, что теперь шифровальщик имитирует поведение Locky, однако не слишком успешно: специалисты сумели взломать его шифрование и представили бесплатный инструмент для расшифровки данных.

Впервые шифровальщик PowerWare был замечен экспертами компании Carbon Black в марте текущего года. Тогда исследователи сделали вывод, что вредонос представляет собой более комплексную версию вымогателя PoshCoder, известного еще с 2014 года.

Как уже было сказано выше, авторы PowerWare пошли по пути наименьшего сопротивления, и их вредонос стал подражать сначала CryptoWall, а позже TeslaCrypt. Еще в марте текущего года вымогатель выдавал себя за одну из версий TeslaCrypt, однако недавно разработчики данного шифровальщика свернули все свои операции и переключились на другую малварь. Создателям PowerWare тоже пришлось найти себе новый "образец для подражания" и их выбор пал на Locky, который на данный момент является одним из наиболее активных и опасных шифровальщиков в мире.

Так как PowerWare предпочитает скрываться в  тени более известных угроз, наиболее последняя версия PowerWare подменяет расширение зашифрованных файлов на .locky, слово в слово копирует сообщение Locky с требованием выкупа, и даже сайт, через который жертвы вымогателя должны производить оплату, выглядит практически аналогично сайту Locky.

На специалисты Palo Alto Networks доказывают, что скопировать текст и дизайн сайта – это далеко не самое главное. PowerWare использует для работы шифрования PowerShell и алгоритм AES-128, но малварь не генерирует случайные ключи и не отправляет их на сервер злоумышленников. Оказалось, что вместо этого единый ключ жестко прописан прямо в коде шифровальщика.

Обнаружив эту особенность малвари, исследователи смогли написать скрипт на Python, который жертвы могут запустить через Windows CLI и расшифровать свои данные.

Также эксперты Palo Alto Networks и AVG пишут, что авторы PowerWare явно не делали упор на качество кода и не пытались создать надежный шифровальщик. Так, малварь использует очень простой алгоритм и шифрует только первые 2048 байт каждого файла. Аналитики AVG отмечают, что такая же ситуация наблюдалась и в случае более ранних версий вымогателя, когда он еще не выдавал себя за Locky.

Хакер