Не можешь? Научим! Не хочешь? Заставим!

Не можешь? Научим! Не хочешь? Заставим!

Уже давно не вызывает особого интереса появление нового образца ransomware. Ну что может быть принципиально нового? Пути заражения? Так их не так много! Применяемые алгоритмы шифрования? Тоже весьма ограниченное количество!

Ведь на самом деле алгоритм ransomware уже достаточно хорошо изучен и может быть сведен к ряду операций ЗАРАЖЕНИЕ – ШИФРОВАНИЕ – ТРЕБОВАНИЕ ВЫКУПА – ВОЗМОЖНОЕ РАСШИФРОВЫВАНИЕ. Поиск чего-то нового сводится, как правило, к поиску путей заражения и ключей шифрования. Однако создателям ransomware под названием Koolova удалось меня удивить.

koolova

Рисунок 1  Koolova

Данный вредонос-вымогатель является разновидностью печально известного Locky и использует для шифрования комбинацию алгоритмов RSA-2048 и AES-256, то есть алгоритмов ассимметричного и симметричного шифрования. Единственные файлы на вашем компьютере, которые не будут затронуты вредоносом, важные системные файлы и файл ransom, из которого жертва может узнать о шифровании данных алгоритмов, о том, как купить bitcoin, как установить Tor браузер и так далее.

Вместе с тем, будь Koolova стандартным вымогателем, не стоило бы столько времени уделять ему. Основное отличие данного вымогателя от других состоит в том, что он не требует денег в качестве выкупа!

Основной целью Koolova как ни странно, является информирование пользователей об опасностях ransomware. То есть, создатели вредоноса не требуют от жертвы денег, они хотят, чтобы жертва прочла две статьи о вымогателях. Эти статьи — Google Security Blog Stay safe while browsing и BleepingComputer Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

После того, как пользователь сделает это, он получит ключ и сможет расшифровать свои файлы. А затем сможет просто удалить Koolova.

Если же жертва слишком ленива чтобы прочесть обе статьи, Koolova запускает обратный отсчет и в случае если пользователь все же отказывается читать, удаляет зашифрованные файлы, как ransomware Jigsaw.

Однако если же жертва прочтет обе статьи, кнопка расшифровки Decrypt My Files (Decripta i Miei File) становится доступной. При нажатии этой кнопки Koolova подключится к управляющему серверу (C&C) и получит ключ расшифровки.

decryption-key-retrieved

Не правда ли, весьма своеобразный подход к повышению компьютерной грамотности?

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий

Владимир Безмалый

О безопасности и не только