Создатель вымогательского ПО шантажирует ИБ-эксперта
Исследователь не сомнвается в политической подоплеке шантажа.
Создатель вымогательского ПО Magic согласился бесплатно опубликовать ключи для восстановления зашифрованных файлов при условии, если исследователь из Турции Ютку Сен (Utku Sen) удалит с GitHub свой проект с открытым исходным кодом Hidden Tear.
В последнее время Ютку Сен стал довольно известным среди ИБ-экспертов благодаря публикации в образовательных целях исходных кодов двух образцов вымогательского ПО. Первый проект Hidden Tear использовался злоумышленниками для создания нового семейства шифровальщиков Cryptear.B. К несчастью для них, Сен умышленно оставил в исходном коде уязвимость в шифровании, позволяющую восстанавливать файлы жертв без уплаты выкупа.
Эксперт опубликовал второй проект EDA2 уже без проблем в шифровании, однако с бэкдором в административной панели C&C-сервиса. На базе данного проекта было создано вымогательское ПО Magic. Оператор шифровальщика разместил административную панель на бесплатном хостинге. Провайдер обнаружил вредоносную активность и удалил учетную запись, а вместе с ней и базу данных с ключами шифрования. Сен извинился за инцидент и удалил проект EDA2 с GitHub.
Как оказалось, оператор Magic успел сохранить резервные копии ключей шифрования. Под впечатлением от рассказа одной из жертв вымогательского ПО о потере всех фотографий своего новорожденного сына он решил опубликовать ключи бесплатно. Тем не менее, злоумышленник резко изменил решение и пообещал предоставить ключи при условии, если Сен удалит проект Hidden Tear и заплатит 3 биткоина (около $1200).
После переговоров с ИБ-экспертом Bleeping Computer Лоуренсом Абрамсом (Lawrence Abrams) создатель Magic отказался от требования денежного выкупа. Поначалу Сен ничего не сообщал о своем решении по поводу условий злоумышленника. Издание Softpedia связалось с исследователем. По его словам, в коде Magic оказались заявления на русском языке в поддержку президента РФ Владимира Путина.
Сен не сомневается в политической подоплеке. «Они (ред. – злоумышленники) делают эти плохие вещи только потому, что я турок, – заявил Сен. – Я общался с ними. По их словам, Magic был создан специально с целью продемонстрировать мне их силу. Они попросили меня удалить Hidden Tear. Возможно, проект мешает их бизнесу по продаже вымогательского ПО».
Поначалу исследователь отказался идти на сделку, однако потом согласился. В течение трех дней он должен удалить проект, а взамен оператор Magic в течение 15 дней бесплатно опубликует все ключи шифрования.
Устали от того, что Интернет знает о вас все?