Ransomware, który nie odszyfruje danych nawet po zapłacie

Zaszyfrowani

Na łamach naszego bloga regularnie pojawiają się informacje o nowych atakach szkodliwego oprogramowania typu ransomware. W tego typu kampaniach chodzi o nakłonienie użytkownika do zapłaty za klucz deszyfrujący, który umożliwi odzyskanie zaszyfrowanych przez szkodnika plików. Czasami ofiara nie posiadając kopii zapasowej systemu/dokumentów podejmuje próbę zapłaty, licząc na odzyskanie ważnych danych. Jak pokazuje poniższy przypadek – nie zawsze oczekiwania pokrywają się z rzeczywistością.

Założenie tego typu szkodników jest proste – zainfekować urządzenie, zaszyfrować wszystkie dane i wyświetlić komunikat o konieczności wpłaty okupu na (najczęściej) wskazany portfel kryptowaluty. Niestety ransomware o nazwie Thanatos posiada błędy[1], które mogą spowodować problemy przy odszyfrowaniu. Oczywiście nieszczęściem dla użytkownika jest już sam fakt zainfekowania sprzętu, jednak taka sytuacja pokazuje, że płacenie okupu jest dla ofiary wysoce ryzykowane i lepiej zapobiegać takim sytuacjom wykonując regularnie kopie zapasowe.

Źródło: https://www.bleepingcomputer.com/news/security/thanatos-ransomware-is-first-to-use-bitcoin-cash-messes-up-encryption/
Źródło: https://www.bleepingcomputer.com/news/security/thanatos-ransomware-is-first-to-use-bitcoin-cash-messes-up-encryption/

Jak podaje MalwareHunterTeam[2] oraz Francesco Muroni[3], Thanatos nigdzie nie zapisuje kluczy, które służą do szyfrowania plików ofiary. Z tego wynika, że nawet jeżeli użytkownik zapłaci we wskazanym terminie i na podany przez atakującego rachunek, nie będzie możliwości odszyfrowania danych.

Badacz dodaje jednocześnie, że istnieje szansa, że klucze da się złamać metodą brute force (siłowe podstawianie wszystkich możliwych kombinacji i znaków).

Źródło: https://www.bleepingcomputer.com/news/security/thanatos-ransomware-is-first-to-use-bitcoin-cash-messes-up-encryption/
Źródło: https://www.bleepingcomputer.com/news/security/thanatos-ransomware-is-first-to-use-bitcoin-cash-messes-up-encryption/

Co ciekawe Thanatos jest pierwszym ransomwarem, który akceptuje Bitcoin Cash (kryptowaluta pochodząca od Bitcoina, ale nie jest to Bitcoin sensu stricto). Szkodnik przyjmuje również płatności w Etherum oraz Bitcoin (tym, nazwijmy to, tradycyjnym). Suma, jaką ofiara ma wpłacić to odpowiednik 200 dolarów. Po dokonaniu płatności użytkownik ma skontaktować się z atakującym, podając przy tym unikatowe ID, wygenerowane przez oprogramowanie. Niestety w niczym to nie pomoże…

Aby uniknąć utraty danych w wyniku ataku ransomware’u, należy przede wszystkim regularnie wykonywać kopie zapasowe systemu oraz wszystkich plików (pamiętając, by nośnik podłączać tylko na czas tworzenia kopii, w przeciwnym razie także dysk z backupem zostanie zaszyfrowany). Dodatkowo istotne jest regularne aktualizowanie systemu operacyjnego oraz wszystkich zainstalowanych aplikacji (zdarza się, że do zainfekowania wykorzystywana jest luka – tak zrobił ransomwareWannaCry). Na koniec warto pamiętać o zainstalowaniu programu antywirusowego.

[1] https://www.bleepingcomputer.com/news/security/thanatos-ransomware-is-first-to-use-bitcoin-cash-messes-up-encryption/
[2] https://twitter.com/malwrhunterteam
[3] https://twitter.com/FraMauronz