Бесплатная дешифровка: разработчики вымогателя QazLocker остались с носом

Бесплатная дешифровка: разработчики вымогателя QazLocker остались с носом

Специалисты из Acronis взломали алгоритм шифрования и поделились готовым решением с миром.

image

В киберпреступном мире набирает обороты новый вариант вымогательского ПО под названием QazLocker. Он используется во множестве атак для поражения компаний в разных секторах бизнеса из разных стран. Однако есть кое-что интересное в работе этой вредоносной программы.

Специалисты Acronis провели детальный анализ данной угрозы и выявили серьёзные уязвимости в алгоритмах шифрования файлов. Эти ошибки позволяют восстанавливать зашифрованные данные без выплаты выкупа киберпреступникам.

В отличие от известных хакерских групп, специализирующихся на вымогательском ПО, создатели QazLocker, похоже, обладают невысоким уровнем технического мастерства. Для сбора разведданных и бокового перемещения по локальной сети жертвы они используют широко известные взломанные утилиты вроде Mimikatz, NirSoft и Advanced Port Scanner.

Сам шифровальщик написан на языке AutoIt и упакован с помощью стандартного инструмента UPX. Программа рекурсивно обходит все диски в системе и шифрует обнаруженные файлы при помощи алгоритма AES в режиме CBC с нулевым вектором инициализации.

Однако при генерации AES-ключа разработчики QazLocker допустили ряд серьёзных ошибок. Во-первых, идентификатор жертвы LOCK-ID вычисляется путём конкатенации MAC-адреса сетевого адаптера и номера месяца в шестнадцатеричном виде. Во-вторых, на основе последних 5 байт этого идентификатора генерируется ключ шифрования RC4, который в свою очередь используется для «защиты» семени ключа AES.

Используемый хакерами подход позволяет легко восстанавливать ключи шифрования и расшифровывать файлы пострадавших компаний. Для этого достаточно знать MAC-адрес устройства жертвы и месяц, в котором произошла атака.

Специалисты Acronis уже разработали дешифратор в виде Python-скрипта, помогающий жертвам QazLocker восстановить свои файлы самостоятельно, без необходимости идти на поводу у вымогателей.

К сожалению, большинство прочих видов вымогательского ПО по-прежнему представляют серьёзную угрозу для бизнеса. Их авторы тщательно маскируют свой код, используют надёжные криптографические примитивы без уязвимостей, регулярно модифицируют алгоритмы работы. В таких случаях восстановление зашифрованных данных крайне затруднено или практически невозможно.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь