05.08.2016

Ransomware Jigsaw byl prolomen

Ransomware Jigsaw je typ malwaru, který se specializuje na to, aby svou oběť co nejvíce vystrašil. Výzkumníky ze společnosti Check Point ale při jeho dešifrování musel pravděpodobně naopak velmi dobře pobavit.

Cover

O ransomwaru jsme psali již nedávno. Tentokrát se zaměříme na ransomware s názvem Jigsaw, který v základu není ničím až zas tak odlišný od ostatního ransomware, liší se ale v uživatelských detailech. Předně - jeho maskotem je postava sériového vraha z filmu Saw a samotný škodlivý kód se nese v jeho duchu. Šíří se zejména skrze nevyžádanou reklamu a pornostránky, vyžaduje (opět) zaplatit výkupné za odšifrování vašich dat, tentokrát je však požaduje ihned a za každou další uplynulou hodinu času kód nenávratně smaže stupňující se množství vašich souborů.

Kód, tedy minimálně jeho nejnovější verze, je chráněn několika prvky. Má uložen záznam v registrech v položce Autorun, spouští se tedy automaticky po každém spuštění počítače a po jeho restartu navíc jako trest oběti smaže 1000 souborů. Mimo to zabraňuje spouštění Editoru registrů, Příkazové řádky, Správce úloh a dalších nástrojů a jeho zdrojový kód používá obfuskátor Confuser pro ztížení jeho zpětné analýzy.

Výzkumníci ze společnosti Check Point se tímto ransomware zabývali a všimli si, že poté, co oběť potvrdí volbu Zaplatil jsem, teď mi dej zpět mé soubory!, kód odešle ověřující požadavek na adresu http://btc.blockr.io/api/v1/address/balance/. Zpět se mu vrátí odpověď ve tvaru JSON:

Otázkou nyní může být, jestli má Jigsaw nějakou ochranu této komunikace - jestli ověřuje, že příchozí a odchozí text obsahují stejné číslo účtu apod. Stačilo by totiž v takovém případě vrátit jako odpověď výpis jiného účtu s požadovaným množstvím bitcoinů. Výzkumníky také napadlo, jestli by prostě nestačilo v odpovědi hodnotu 0 přepsat na požadovanou částku...

Stačilo.

Opravdu, jediné, co stačí pro prolomení a úspěšné rozšifrování tohoto malwaru provést, je vrátit vymyšlenou hodnotu peněz na účtu a předstírat tak zaplacení. Někdy je až vtipné, jak tvůrci malware vymýšlejí všelijaké komplikované ochrany a přitom zapomenou na nějakou naprosto základní věc.

Více na blog.checkpoint.com

Kam dál?