Обнаружено вымогательское ПО на основе исходного кода проекта EDA2
Вредонос шифрует данные по алгоритму AES и требует выкуп за восстановление доступа к информации.
Исследователи обнаружили новый вид вымогательского ПО Magic, основанный на учебном проекте с открытым исходным кодом EDA2. В течение последних нескольких дней вредонос активно распространялся и инфицировал компьютеры жертв.
Проект EDA2 был разработан турецким исследователем безопасности Ютку Сеном (Utku Sen), ранее создавшим аналогичное вымогательское ПО Hidden Tear. Оба проекта Сен разработал исключительно в образовательных целях. Для предотвращения эксплуатации исследователь встроил в исходный код Hidden Tear и EDA2 бэкдоры, позволявшие восстановить зашифрованные данные.
Способ инфицирования жертв остается неизвестным. Вредонос шифрует файлы на компьютерах пользователей и меняет расширения на .magic. Вымогательское ПО использует алгоритм AES, но ключ шифрования хранится не на компьютере жертвы, а на C&C-сервере. За восстановление доступа к данным жертва должна отправить злоумышленникам выкуп в биткоинах.
Авторы вредоноса разместили C&C-сервер на бесплатном хостинге. К сожалению, администрация ресурса удалила учетные записи злоумышленников и все находящиеся на сервере данные, включая ключи расшифровки. Восстановить зашифрованные данные невозможно.
В связи с инцидентом Утку Сен завершил работу над проектом EDA2 и удалил исходный код вредоноса из репозитория в GitHub. По словам исследователя, бэкдор был встроен в административную панель. Если бы C&C-сервер до сих пор функционировал, исследователь смог бы получить доступ к базе данных и расшифровать данные пострадавших пользователей.
Тени в интернете всегда следят за вами