Конкуренты криптовымогателя Chimera «слили» в сеть его ключи шифрования

    image

    На смену обычным вредоносным программам, нарушающим работу систему и троянам, ворующим персональные данные, на первый план за последние несколько лет вышел новый тип киберпреступности: вымогательство через шифрование персональных данных.

    Эта тема уже не единожды понималась на различных ресурсах, в том числе и новостных. Видели мы многое: криптовымогатели, атакующие частных лиц, криптовымогатели, атакующие государственные и коммерческие учреждения, Malware, использующие поп-ап окна, манипулирующие рядовыми пользователями и играющие на их юридической и технической безграмотности. Было даже ПО, банально удаляющие файлы, когда как жертве сообщалось, что они зашифрованы.

    До последнего времени программы-вымогатели мирно сосуществовали друг с другом. Но, по всей видимости, жертв на всех стало не хватать, так как пользователи сети стали более осведомлены о новых типах угроз, да и антивирусные компании не стояли на месте. И, как итог, в сети появились ключи для расшифровки данных, пораженных криптовымогателем Chimera и, по всей видимости, «утечка» — это дело рук конкурентов.

    По имеющейся информации, источником «слива» является автор другого криптовымоггателя — Mischa. Согласно сообщению, размещенному на pastebin, автор Mischa выложил в свободный доступ более 3500 декодирующих ключей от Chimera.

    Ранее исследователи в области информационной безопасности из команды malwarebytes заметили, что между кодом Mischa и Chimera есть сходство. Создатель Mischa этого не отрицает: «ранее в этом голу мы получили доступ к dev-части Chimera и использовали некоторые решения в своей разработке».

    Кроме того, что 3500 ключей от Chimera в публичном доступе нанесут огромный финансовый урон владельцам криптовымогателя, это также ставит под сомнение дальнейшее существование Chimera как такового. Об этом недвусмысленно упомянул и сам разработчик Mischa, предоставивший данные: «я не думаю, что для антивирусных компаний будет проблемой создать декриптор при помощи этой информации».

    Почему именно Chimera? Кроме обладания некоторой инсайд-информацией со стороны разработчиков Mischa, Chimera еще была и успешна. Вместо того, чтобы просто следовать мейнстриму и угрожать пользователю полной потерей его данных, создатели скомпрометированного криптовымогателя пошли дальше: они угрожали выложить в сеть уже в не зашифрованном виде личную информацию жертвы. И если многие могли смириться с потерей фотографий, видео и писем, то публикация приватной информации для многих становилась серьезным стимулом заплатить преступникам. Правда, прецедентов с подобными публикациями замечено не было, поэтому неизвестно, платили ли все жертвы Chimera, или владельцы криптовымогателя банально блефовали.

    По заявлению команды malwarebytes проверка работоспособности опубликованных ключей займет некоторое время, но они рекомендуют жертвам Chimera подождать. Если «слив» окажется достоверным, то опубликованная информация поможет тысячам пользователей по всему миру восстановить свою информацию без каких-либо финансовых потерь.
    Поделиться публикацией
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 37
    • +1
      Красота эволюции в действии. В будущем сотрется различие между вирусами и антивирусным софтом: вирус будет существовать в симбиозе с жертвой, пользуясь чужими ресурсами максимально незаметно для пользователя, при этом защищая его от остальных угроз. Так он не будет провоцировать пользователя на борьбу с ним, что увеличит выживаемость его популяции
      • +5
        нанесут огромный финансовый урон владельцам криптовымогателя

        Немного забавно читать такое про мошенников. Хорошо хоть не «недополученная прибыль».
        • +6
          Может показаться что разработчик Mischa — хороший, а Chimera плохие и «так им и надо». На самом деле и те и другие уе… аны и надо их сажать, а не интервью брать.
          • 0
            Никто их и не пытается искать, хотя эти разработчики даже особо не скрываются.
            У правоохранительных органов и без того дел по горло — им надо пиратов ловить да биржи биткойн закрывать, тут уж не до всяких безобидных мелочей вроде криптовымогателей.
            Был даже случай, когда такой шифровальщик закриптовал все данные на машинах полицейского участка, и полиция предпочла заплатить мошенникам, даже не помышляя о расследовании.
            • 0
              Был случай когда в госдуре файло пошифровалось и на предложение обратиться к силовикам думцы сказали что-то типа «Вы что, дебилы?!».
              • 0
                А что! Идилия хорошая:
                Биржи все хлопнули — вот и не чем стало платить этим..., а вирусы без пиратов — ну просто совсем ни как!
              • 0
                Вор у вора дубинку украл сломал (с)
              • 0
                почему 3500, почему не по ключу на зараженную машину? Школота, даже шифровать не умеют правильно
                • +1
                  Судя по написанному, там приватные RSA-ключи, которых может быть значительно меньше чем 1 на машину. В принципе, хватило бы и одного.
                • 0
                  война за «клиента» она такая… непредсказуемая
                  • 0
                    Авторы — гнусные корявые извращенцы! Нет бы OpenSSL/CryptoAPI использовать, так нет! Ключи в каком-то непонятном формате у них…
                    • 0
                      Коллеги, а кто как на уровне защиты предприятия борется с ransomeware? У меня видение, что только специфической обработкой логов на SIEM можно диагностировать угрозу до ее финальной стадии «все зашифровано, дай денег».
                      • +1
                        А бэкапы не?
                        • 0
                          Я спрашивал у манагеров лаборатории Касперского средство от этой заразы. Ничего, кроме программ резервного копирования не предложили. Как страшно жить!
                          • +2
                            Вы так это говорите, что мне на секундочку показалось, что вы не делаете бэкапов… они ведь не только от вирусни спасают
                          • +3
                            Бэкапы. Только бэкапы.
                            Был случай: безопасник словил шифровальшик на почту. Зашифровал свой ноут и половину сетевого диска. Не спас фильтр на почте (была ссылка, а не exe и с доверенного ящика). Не спас каспер (в базу добавили по нашему обращению). Мозги тоже не спасли (тоже мне безопасник). Бэкапы, да.
                            Смысла выдумывать отдельную защиту от шифровальщика вообще нет. Но вообще можно попробовать с белыми списками исполняемых файлов (но негатива будет...).
                            • +1
                              «Сетевой диск» это вообще анахронизм, в первую очередь.
                              • 0
                                А как быть?
                                • +2
                                  Ну всякие там svn-ы/mycloud-ы и тому подобные не windows хранилища с версионностью.
                                  Только офисному планктону далекому от IT и привыкшему к сетевым дискам все это до лампочки. Так что никак.
                                  • 0
                                    К слову, сетевой диск и сетевая шара — разные вещи, и далеко не все (точнее — мало кто) умеют шифровать по UNC-путям.
                                    • 0
                                      Ну в данном случае это была smb ресурс с dfs, подключенный именно как диск. С тем же успехом это мог оказаться WebDAV или NFS ресурс, приаттаченый как диск.

                                      По UNC и некоторые полезные программы работать не умеют.
                                      • 0
                                        А запрет на запуск скриптов не спасает? Или невозможно такое организовать?
                                        Ведь вирусы по почте — это банальные js-скрипты, запускающие всю цепочку получения самого шифровальщика.

                                        У нас, например, был случай, когда юрист получил письмо и пытался открыть «вордовский» файл — js с иконкой ворда. Но поскольку ни у кого нет привычки извлекать файлы из архивов, то скрипт не смог запуститься, потому что автоматически при открытии он распаковался во временную папку.
                                        • 0
                                          Это был безопасник. :) Админские права, левые групповые политики и прочий беспредел. Бухи несколько раз до этого жаловались как раз на то, что «файлик не открывается», а у него открылся.

                                          И на самом деле, какая разница? Не словил бы на корпоративной, словил бы на мэйле (с него как раз и рассылали, с хакнутых адресов), не на рабочем, так на домашнем с выходом через vpn или на флешке притащил бы. Все пути взлома все равно не перекроешь (хотя пытаться надо), а вот резервная копия спасет всегда.
                                          • 0
                                            Но это же лютейшая некомпетентность!
                                            Чем и о чём надо думать, чтобы запустить из почты скрипт на выполнение? Я ещё понимаю уязвимости, где от пользователя требуется только посмотреть письмо, но когда вложение вредоносное и надо запустить его на исполнение… А он точно безопасник?
                                          • +1
                                            Да, достаточно запретить через групповую политику выполнение скриптов и исполнительных файлов во временной папке на всех машинах домена. Для пущей уверенности я еще указывал конкретно форматы, куда вошли js, vb, vbs и на подстраховку bat и exe.
                              • 0
                                Специальный демон или модуль ядра, который сканирует память процессов и вытаскивает все AES-ключи из оперативки. Криптолокеры для шифрования, как правило, используют только AES, так что это довольно надежное решение.
                                • 0
                                  Меня, конечно, сейчас заминусуют, но использовать какую-нибудь операционную систему, которая не винда, вообще не вариант, да?
                                • +5
                                  Теперь Mischa может просить оплату со скидкой за расшифровку зашифрованного Chimera.
                                  • 0
                                    я вот всё жду, когда же появятся «вирусы» которые будут платить тебе денежку за то что ты не будешь их удалять и позволять использовать твой компьютер в создании зловредной сети?
                                    • 0
                                      зачем платить, когда можно не платить и делать то-же самое?)))
                                      • 0
                                        Тогда это будет соучастием… Да и зачем платить, если можно пользоваться бесплатно.
                                        • 0
                                          Это называется «буксы»
                                          Там дают всякие задания за копейки, кликни сюда, зарегайся тут, запусти этот эекзешник.
                                          Школота пользуется.
                                        • 0
                                          Меня умиляет титульный лист. Chimera®! Может, они в самом деле зарегистрировали эту торговую марку для группы товаров и услуг «шифрование файлов»?
                                          • 0
                                            Скажите пожалуйста несведущему в этом. Если открыть ссылку с этой гадостью на виртуальной машине. Она всё равно расползётся на основной диск? Спасибо.
                                            • –2
                                              По идее расползется везде куда дотянется.
                                            • 0
                                              А потом Chimera отомстит за публикацию своих ключей и сольет ключи Mischa.
                                              Итог: оба вируса ликвидированы. Всегда бы так.
                                              • 0
                                                Зачем вообще вирусу использовать конкретные ключи с возможностью расшифровки? Нужно вымогать деньги и форматировать всё до чего можно достать в бесконечном цикле, это мне кажется больше подходит идеологии вирусов.

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое