Проект PHP-вымогателя с открытым исходным кодом на GitHub все еще порождает активные угрозы, спустя более года после его выпуска в начале 2016 года.
Проект, названный без воображения «Ransomware», является результатом работы индонезийского хакера по имени ShorTcut (или Shor7cut), члена двух хакерских бригад по имени Bug7sec и Indonesia Defacer Tersakiti.
В течение прошлого года исходный код этого проекта использовался в трех различных семействах программ-вымогателей, нацеленных на веб-серверы.
Три семейства программ-вымогателей возникли в результате проекта GitHub
Первым был вымогатель, обнаруженный как JapanLocker , обнаруженный в середине октября 2016 года исследователями Fortinet. Имя пришло с одного из адресов электронной почты, использованных в записке о выкупе.
Второе семейство программ-вымогателей называется Lalabitch и было обнаружено в начале июля 2017 года исследователем безопасности Майклом Гиллеспи. Название произошло от расширения, добавляемого в конце зашифрованных файлов.
Третья и самая последняя волна программ-вымогателей на основе PHP, полученных из проекта с открытым исходным кодом, также была обнаружена в июле, но эта версия добавила расширение .ev в конце зашифрованных файлов. Wordfence обнаружил этот вариант и использовал название EV Ransomware для обнаружения и отслеживания его активности.
Нет никаких доказательств того, что все три волны вымогателей связаны с одним и тем же распространителем. Поскольку исходный код кода был открыт на GitHub, мы не знаем, стоит ли ShorTcut за распространением какого-либо семейства, поскольку любой мог клонировать репо и использовать его.
Все три варианта вымогателей бесполезны
Ясно одно: все три – JapanLocker, Lalabitch и EV – не имеют надлежащего механизма дешифрования.
Программа-вымогатель может шифровать файлы, но ошибка в процессе дешифрования не позволяет жертвам восстановить файлы, даже если они заплатили выкуп и получили код дешифрования.
«Вам понадобится опытный разработчик PHP, который поможет вам исправить их неработающий код, чтобы использовать ключ и отменить шифрование», – сказал Марк Маундер, генеральный директор Wordfence.
На момент написания ни одно из этих трех семейств программ-вымогателей не подвергалось массовым атакам, заразившим несколько сайтов то тут, то там.
Злоумышленникам также необходимо найти брешь в системе безопасности, чтобы использовать ее для установки программы-вымогателя, что звучит проще, чем есть на самом деле. Злоумышленнику необходимо загрузить свой PHP-файл вымогателя на сервер и запустить его для шифрования файлов. Предоставляется визуальный интерфейс.
Кроме того, большинство веб-сайтов используют систему автоматического резервного копирования на уровне сайта или сервера, поэтому веб-мастера могут легко восстановить содержимое своего сайта, когда злоумышленник заблокирует их файлы.
Из-за этого программы-вымогатели EV соответствуют другим семействам программ-вымогателей, нацеленных на серверную среду, будучи крайне неэффективными при получении выкупа от жертв.
Wordfence, который запускает веб-брандмауэр для WordPress, утверждает, что вымогатель EV нацелен только на серверы WordPress. В беседе с Bleeping Computer исследователь безопасности MalwareHunter сказал, что злоумышленник может запустить программу-вымогатель на любом типе веб-сервера и заблокировать любую CMS веб-сайта.
Злоумышленник (-ы) мог нацеливаться на сайты WordPress с помощью программы-вымогателя EV, потому что им было легче найти уязвимые сайты WordPress из-за большой доли рынка CMS.
Другие программы-вымогатели в Интернете были замечены раньше
Мы также должны указать здесь автора ботнета Rex, который перед тем, как попасть на сцену вредоносного ПО IoT, взломал сайты Drupal с помощью SQL-инъекции и установил страницу искажения, которая выглядела как записка о выкупе, пытаясь запугать жертв, чтобы они заплатили требование выкупа.
Кстати, автор вымогателя KimcilWare – еще один хакер из Индонезии. Он превратился из веб-программ-вымогателей в семейства настольных компьютеров. Считается, что он создал семейства программ-вымогателей, такие как MireWare, MafiaWare, CryPy, SADStory и L0CK3R74H4T. Как мы писали в предыдущей статье, все было мусором , и хакер так и не показал настоящих навыков программирования.
По материалам – https://yrodu.ru/