Вредоносная программа, шифрующая файлы на компьютере жертвы, до сих пор требовала от пользователей оплаты расшифровки файлов, однако в ней была найдена уязвимость: программа оставляет ключи для дешифрования на зараженном компьютере. Компания Symantec проанализировала программу под названием CryptoDefence, появившуюся в прошлом месяце. Она является одним из членов семейства вредоносных программ, которые шифруют пользовательские файлы и не снимают блокировку до момента оплаты. В Symantec говорят, что данный вид шантажа очень давно известен в ИТ-отрасли, однако, он, судя по всему, еще работает. CryptoDefence использует инфраструктуру Microsoft и Windows API для генерации шифровой последовательности и шифрования/дешифрования данных. Шифруются файлы при помощи RSA-ключей с длиной последовательности 2048 бит. Здесь применяются закрытые ключи, необходимые для дешифрования контента и отправки его на сервер атакующего, чтобы вернуть их клиенту, когда тот выплатит требуемую сумму. Однако авторы вредоноса неверно реализовали алгоритм шифрования и не учли или не знали, что частный ключ по умолчанию сохраняется на компьютере пользователя в папке, откуда целевой файл вызывал соответствующие системные функции. «Авторы атаки оставляли ключи от шифров на компьютере пользователей, что позволяло пользователям без каких-либо платежей самим расшифровать зашифрованные вредоносом данные», - говорят в Symantec. Между тем, авторы атаки требовали от своих жертв сумму в 500 долларов или евро за расшифровку, причем если жертва не выплачивала их течение 4 дней, то на 5-й день сумма требований удваивалась. Согласно оценкам Symantec, организаторы кампании заработали шантажем не менее 34 000 долларов в месяц. Судя по данным срабатывания антивирусного софта Symantec, CryptoDefence заразил около 11 000 хостов в более чем 100 странах. Большая часть заражений пришлась на США, Великобританию, Канаду, Австралию, Японию, Индию, Италию и Нидерланды.
Источник