Специалисты из Acronis взломали алгоритм шифрования и поделились готовым решением с миром.
В киберпреступном мире набирает обороты новый вариант вымогательского ПО под названием QazLocker. Он используется во множестве атак для поражения компаний в разных секторах бизнеса из разных стран. Однако есть кое-что интересное в работе этой вредоносной программы.
Специалисты Acronis провели детальный анализ данной угрозы и выявили серьёзные уязвимости в алгоритмах шифрования файлов. Эти ошибки позволяют восстанавливать зашифрованные данные без выплаты выкупа киберпреступникам.
В отличие от известных хакерских групп, специализирующихся на вымогательском ПО, создатели QazLocker, похоже, обладают невысоким уровнем технического мастерства. Для сбора разведданных и бокового перемещения по локальной сети жертвы они используют широко известные взломанные утилиты вроде Mimikatz, NirSoft и Advanced Port Scanner.
Сам шифровальщик написан на языке AutoIt и упакован с помощью стандартного инструмента UPX. Программа рекурсивно обходит все диски в системе и шифрует обнаруженные файлы при помощи алгоритма AES в режиме CBC с нулевым вектором инициализации.
Однако при генерации AES-ключа разработчики QazLocker допустили ряд серьёзных ошибок. Во-первых, идентификатор жертвы LOCK-ID вычисляется путём конкатенации MAC-адреса сетевого адаптера и номера месяца в шестнадцатеричном виде. Во-вторых, на основе последних 5 байт этого идентификатора генерируется ключ шифрования RC4, который в свою очередь используется для «защиты» семени ключа AES.
Используемый хакерами подход позволяет легко восстанавливать ключи шифрования и расшифровывать файлы пострадавших компаний. Для этого достаточно знать MAC-адрес устройства жертвы и месяц, в котором произошла атака.
Специалисты Acronis уже разработали дешифратор в виде Python-скрипта, помогающий жертвам QazLocker восстановить свои файлы самостоятельно, без необходимости идти на поводу у вымогателей.
К сожалению, большинство прочих видов вымогательского ПО по-прежнему представляют серьёзную угрозу для бизнеса. Их авторы тщательно маскируют свой код, используют надёжные криптографические примитивы без уязвимостей, регулярно модифицируют алгоритмы работы. В таких случаях восстановление зашифрованных данных крайне затруднено или практически невозможно.