Новости Бесплатная дешифровка: разработчики вымогателя QazLocker остались с носом

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Специалисты из Acronis взломали алгоритм шифрования и поделились готовым решением с миром.


8gbuqz23ywlee07oi4xrjt5axfwrmxvo.jpg


В киберпреступном мире набирает обороты новый вариант вымогательского ПО под названием QazLocker. Он используется во множестве атак для поражения компаний в разных секторах бизнеса из разных стран. Однако есть кое-что интересное в работе этой вредоносной программы.

Специалисты Acronis Для просмотра ссылки Войди или Зарегистрируйся данной угрозы и выявили серьёзные уязвимости в алгоритмах шифрования файлов. Эти ошибки позволяют восстанавливать зашифрованные данные без выплаты выкупа киберпреступникам.

В отличие от известных хакерских групп, специализирующихся на вымогательском ПО, создатели QazLocker, похоже, обладают невысоким уровнем технического мастерства. Для сбора разведданных и бокового перемещения по локальной сети жертвы они используют широко известные взломанные утилиты вроде Mimikatz , NirSoft и Advanced Port Scanner .

Сам шифровальщик написан на языке AutoIt и упакован с помощью стандартного инструмента UPX . Программа рекурсивно обходит все диски в системе и шифрует обнаруженные файлы при помощи алгоритма AES в режиме CBC с нулевым вектором инициализации.

Однако при генерации AES-ключа разработчики QazLocker допустили ряд серьёзных ошибок. Во-первых, идентификатор жертвы LOCK-ID вычисляется путём конкатенации MAC-адреса сетевого адаптера и номера месяца в шестнадцатеричном виде. Во-вторых, на основе последних 5 байт этого идентификатора генерируется ключ шифрования RC4 , который в свою очередь используется для «защиты» семени ключа AES.

Используемый хакерами подход позволяет легко восстанавливать ключи шифрования и расшифровывать файлы пострадавших компаний. Для этого достаточно знать MAC-адрес устройства жертвы и месяц, в котором произошла атака.

Специалисты Acronis уже разработали дешифратор в виде Python -скрипта, помогающий жертвам QazLocker восстановить свои файлы самостоятельно, без необходимости идти на поводу у вымогателей.

К сожалению, большинство прочих видов вымогательского ПО по-прежнему представляют серьёзную угрозу для бизнеса. Их авторы тщательно маскируют свой код, используют надёжные криптографические примитивы без уязвимостей, регулярно модифицируют алгоритмы работы. В таких случаях восстановление зашифрованных данных крайне затруднено или практически невозможно.
 
Источник новости
www.securitylab.ru

Похожие темы