Обнаружено вымогательское ПО на основе исходного кода проекта EDA2

image

Теги: вымогательское ПО, вредоносное ПО, кибербезопасность

Вредонос шифрует данные по алгоритму AES и требует выкуп за восстановление доступа к информации.

Исследователи обнаружили новый вид вымогательского ПО Magic, основанный на учебном проекте с открытым исходным кодом EDA2. В течение последних нескольких дней вредонос активно распространялся и инфицировал компьютеры жертв.

Проект EDA2 был разработан турецким исследователем безопасности Ютку Сеном (Utku Sen), ранее создавшим аналогичное вымогательское ПО Hidden Tear. Оба проекта Сен разработал исключительно в образовательных целях. Для предотвращения эксплуатации исследователь встроил в исходный код Hidden Tear и EDA2 бэкдоры, позволявшие восстановить зашифрованные данные.

Способ инфицирования жертв остается неизвестным. Вредонос шифрует файлы на компьютерах пользователей и меняет расширения на .magic. Вымогательское ПО использует алгоритм AES, но ключ шифрования хранится не на компьютере жертвы, а на C&C-сервере. За восстановление доступа к данным жертва должна отправить злоумышленникам выкуп в биткоинах.

Авторы вредоноса разместили C&C-сервер на бесплатном хостинге. К сожалению, администрация ресурса удалила учетные записи злоумышленников и все находящиеся на сервере данные, включая ключи расшифровки. Восстановить зашифрованные данные невозможно.

В связи с инцидентом Утку Сен завершил работу над проектом EDA2 и удалил исходный код вредоноса из репозитория в GitHub. По словам исследователя, бэкдор был встроен в административную панель. Если бы C&C-сервер до сих пор функционировал, исследователь смог бы получить доступ к базе данных и расшифровать данные пострадавших пользователей.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.