Вымогатель Power Worm случайно уничтожает файлы в процессе шифрования

image

Теги: программа-вымогатель, ошибка, шифрование

В результате программной ошибки вымогатель генерирует случайные ключи дешифровки вместо статических.

Исследователь Нэйтан Скотт (Nathan Scott) обнаружил вариант программы-вымогателя Power Worm, который случайно уничтожает файлы жертвы в процессе шифрования из-за ошибки в программировании. Впервые Power Worm был обнаружен специалистами ИБ-компании Trend Micro в марте 2014 года в ходе анализа вредоносной кампании, нацеленной на документы в форматах Microsoft Word и Excel.

Данный вариант вымогательского ПО атакует широкий спектр типов файлов, однако это не единственная «особенность», которая выделяет его среди подобного рода вредоносов. Как поясняет Скотт, отличие заключается в некорректно реализованном процессе шифрования, с помощью которого автор вредоноса попытался упростить шифрование и сократить эксплуатационные расходы. По словам исследователя, разработчик внедрил криптографический модуль с поддержкой алгоритма AES, однако вместо сгенерированных случайным образом ключей намеревался использовать статический AES-ключ, одинаковый для каждого пользователя.

Проблема заключается в том, пишет интернет-портал Bleeping Computer, что в результате программной ошибки вымогатель начал генерировать случайные ключи для дешифровки вместо статических. Поскольку автор не предусмотрел специальный сценарий для обработки и хранения сгенерированных случайным образом ключей, программа шифровала файлы, а затем удаляла ключ для дешифрования. Таким образом, жертвы вредоноса могли восстановить свои файлы, только воспользовавшись их резервными копиями.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.