Autor: S3Ccz | 15.8.2016 |
O ransomwaru jsme psali již nedávno. Tentokrát se zaměříme na ransomware s názvem Jigsaw, který v základu není ničím až zas tak odlišný od ostatního ransomware, liší se ale v uživatelských detailech. Předně - jeho maskotem je postava sériového vraha z filmu Saw a samotný škodlivý kód se nese v jeho duchu. Šíří se zejména skrze nevyžádanou reklamu a pornostránky, vyžaduje (opět) zaplatit výkupné za odšifrování vašich dat, tentokrát je však požaduje ihned a za každou další uplynulou hodinu času kód nenávratně smaže stupňující se množství vašich souborů.
Kód, tedy minimálně jeho nejnovější verze, je chráněn několika prvky. Má uložen záznam v registrech v položce Autorun, spouští se tedy automaticky po každém spuštění počítače a po jeho restartu navíc jako trest oběti smaže 1000 souborů. Mimo to zabraňuje spouštění Editoru registrů, Příkazové řádky, Správce úloh a dalších nástrojů a jeho zdrojový kód používá obfuskátor Confuser pro ztížení jeho zpětné analýzy.
Výzkumníci ze společnosti Check Point se tímto ransomware zabývali a všimli si, že poté, co oběť potvrdí volbu Zaplatil jsem, teď mi dej zpět mé soubory!, kód odešle ověřující požadavek na adresu http://btc.blockr.io/api/v1/address/balance/. Zpět se mu vrátí odpověď ve tvaru JSON:
Otázkou nyní může být, jestli má Jigsaw nějakou ochranu této komunikace - jestli ověřuje, že příchozí a odchozí text obsahují stejné číslo účtu apod. Stačilo by totiž v takovém případě vrátit jako odpověď výpis jiného účtu s požadovaným množstvím bitcoinů. Výzkumníky také napadlo, jestli by prostě nestačilo v odpovědi hodnotu 0 přepsat na požadovanou částku...
Stačilo.
Opravdu, jediné, co stačí pro prolomení a úspěšné rozšifrování tohoto malwaru provést, je vrátit vymyšlenou hodnotu peněz na účtu a předstírat tak zaplacení. Někdy je až vtipné, jak tvůrci malware vymýšlejí všelijaké komplikované ochrany a přitom zapomenou na nějakou naprosto základní věc.