Шифрование вымогателя LeChiffre взломано

385

В январе стало известно, что программную платформу трех банков Индии и фармацевтической компании атаковал вирусвымогатель LeChiffre. Тогда эксперты Malwarebytes предположили, что новый шифровальщик создан любителями.

Фабиан Восар, специалист компании Emsisoft, косвенно подтвердил данное предположение, буквально за день взломав шифрование LeChiffre.

От других шифровальщиков утилита LeChiffre отличается тем, что инфицирование осуществляется в ручном режиме. Эксперты Malwarebytes в своем блоге рассказали, что неизвестный преступник проникнул в сети пострадавших организаций,смог повысить свои привилегии и получил доступ к другим компьютерам локальной сети через порты Remote Desktop.

Только после проникновения в систему злоумышленник вручную загружал LeChiffre с собственного сервера, после чего запускал вирус.

Специалисты Malwarebytes уже изучили приложение. Известно, что оно написано на Delphi, интерфейс управления на русском языке, а для шифрования используется алгоритм AES.

Эксперты также отметили, что LeChiffre написан весьма непрофессиональнозащита от стороннего анализа практически отсутствует.

Несмотря на недостатки вредоносной программы, индийские банки понесли серьезные потери (десятки миллионов долларов). Некоторые банки приняли решение добровольно оплатить хакеру выкуп, который составлял 1 Bitcoin (порядка 400 долларов). В основном оплату производили для восстановления информации на ПК руководства банков.

К счастью, проблемой решил заняться Фабиан Восар, который ранее анализировал другие шифровальщики. Специалист уже анонсировал инструмент для дешифровки измененных данных (опубликован на сайте Emsisoft).

Пока инструмент способен корректно работать с LeChiffre 2.6. Для функционирования дешифровщику необходим доступ в интернет, а запуск программы необходимо производит на зараженном ПК.

Восар отметил, что готов изучить и другие версии вирусавымогателя, но для этого необходимы файлы вируса. Все, кто столкнулся с данной угрозой, могут обратиться в соответствующую тему на форуме Bleeping Computer.

ОСТАВЬТЕ ОТВЕТ