EDA2 Open-Source Code ransomware utiliza en ataques de la vida real
Los ciberdelincuentes han usado el código de fuente abierta del
ransomware EDA2 para crear la cepa ransomware Magia, que se ha visto en
los ataques de la vida real en contra de los usuarios en los últimos
días.
Esta es la segunda vez que esto ocurre, después también se desplegó el código de código abierto del ransomware Tear Ocultos en ataques en vivo hace alrededor de dos semanas a través de la familia ransomware RANSOM_CRYPTEAR.B.Sin final feliz para las víctimas ransomware Magia
Creador de ambos proyectos es el turco investigador de seguridad Utku Sen, quien dice que sus dos proyectos, Tear Ocultos y EDA2, fueron publicadas solamente con fines educativos.
Para las víctimas RANSOM_CRYPTEAR.B, la historia tuvo un final feliz, como Utku Sen reveló que él deliberadamente dejó un defecto de cifrado en el código del ransomware, que otros investigadores de seguridad utilizados para ayudar a las víctimas ransomware.
Sin embargo, no hay final feliz para las víctimas ransomware Magic, que actualmente no tienen forma de recuperar sus archivos, incluso si pagan el rescate. Más sobre esto más adelante.Cómo Magia obras ransomware
Primeras víctimas ransomware aparecieron en Reddit y luego los foros de soporte técnico que pita informáticos. Todavía no hay información sobre cómo el ransomware infecta a los usuarios, pero sabemos que se agrega la extensión .magic a los archivos encripta, de ahí su nombre.
El algoritmo de cifrado es AES, lo que significa que utiliza la misma clave para cifrar y descifrar los archivos más tarde. Desafortunadamente, esta clave de cifrado no se almacena en el ordenador, pero envía a un servidor C & C remoto.
Por suerte, la dirección de este servidor C & C podría ser extraído de código del ransomware. Por desgracia, los servidores C & C fueron alojados en un servicio de alojamiento gratuito. Decimos "por desgracia" porque alguien informó Autor de la ransomware, y la mayoría de los servicios de alojamiento gratuito no sólo suspendemos usuarios que rompen sus reglas, sino también suprimir sus datos.
Sí, lo leiste bien. Todas las claves de cifrado se eliminan, lo que significa que nadie puede descifrar esos archivos ahora, autor ni siquiera el de ransomware.No backdoor cifrado en EDA2 (Magia)
Hemos mencionamos anteriormente que Utku Sen dejó un defecto de cifrado en el proyecto Tear Oculto. Esto no sucedió en EDA2. Softpedia en contacto con el investigador, que estaba en el proceso de encerrar un blog sobre este tema, que antes de haber sido alertado de que su código EDA2 se abrió camino en las manos de algún grupo criminal.
Como el investigador reveló, el proyecto ransomware EDA2 no sólo vienen con el código del ransomware real y las instrucciones sobre cómo personalizar, pero era un kit de delincuencia completa y también incluyó un panel de administración basado en PHP donde se enviaron todas las claves de cifrado.
Utku pensó que, esta vez, iba a poner un módulo de cifrado en pleno funcionamiento en el ransomware pero deja una puerta trasera en el panel de administración, lo que le permitiría acceder a la base de datos y robar las claves de cifrado si cualquier autor de malware nunca pensó en utilizar su abierta proyecto EDA2 -source.
Puesto que los servidores C & C han sido derribados, la cuenta de puerta trasera es ahora inútil. A menos que el proveedor de alojamiento gratuito saca un conejo de un sombrero y misteriosamente se encuentra una copia de seguridad de los datos, todos los archivos cifrados ransomware mágicos se han ido para siempre.Parece que ransomware de código abierto es una idea terrible
"Por lo que puedo decir mirando a través del código, es poco probable que habrá una manera de arreglarlo", dice Fabian Wosar, un investigador de seguridad Emsisoft que anteriormente logró descifrar diferentes familias ransomware.
Por el momento, la comunidad infosec no parece ser muy agradecidos por la decisión de Utku Sen de código abierto sus experimentos ransomware.
Sólo publicó dos proyectos ransomware "educativos", pero ambos fueron atrapó rápidamente por los autores de malware y se utiliza para fines no educativos. A pesar de sus mejores intenciones, su experimento fracasó de forma desastrosa.
"Me di cuenta de mi error en ese momento. Me dejó todo en manos de criminales. Debería haber sido error a prueba", dice Utku por no incluyendo un defecto de cifrado en la fuente y la decisión de ir con una puerta trasera al panel de administración.
"He quitado todos los archivos y se compromete de proyecto Eda2. Ya que nadie ha descubierto la puerta trasera para Eda2, no voy a revelar ahora. Porque podemos hacer frente a las nuevas implementaciones Eda2 en futuro", también agregó: "Estoy lo siento, no he logrado en esta ocasión ".
Esta es la segunda vez que esto ocurre, después también se desplegó el código de código abierto del ransomware Tear Ocultos en ataques en vivo hace alrededor de dos semanas a través de la familia ransomware RANSOM_CRYPTEAR.B.Sin final feliz para las víctimas ransomware Magia
Creador de ambos proyectos es el turco investigador de seguridad Utku Sen, quien dice que sus dos proyectos, Tear Ocultos y EDA2, fueron publicadas solamente con fines educativos.
Para las víctimas RANSOM_CRYPTEAR.B, la historia tuvo un final feliz, como Utku Sen reveló que él deliberadamente dejó un defecto de cifrado en el código del ransomware, que otros investigadores de seguridad utilizados para ayudar a las víctimas ransomware.
Sin embargo, no hay final feliz para las víctimas ransomware Magic, que actualmente no tienen forma de recuperar sus archivos, incluso si pagan el rescate. Más sobre esto más adelante.Cómo Magia obras ransomware
Primeras víctimas ransomware aparecieron en Reddit y luego los foros de soporte técnico que pita informáticos. Todavía no hay información sobre cómo el ransomware infecta a los usuarios, pero sabemos que se agrega la extensión .magic a los archivos encripta, de ahí su nombre.
El algoritmo de cifrado es AES, lo que significa que utiliza la misma clave para cifrar y descifrar los archivos más tarde. Desafortunadamente, esta clave de cifrado no se almacena en el ordenador, pero envía a un servidor C & C remoto.
Por suerte, la dirección de este servidor C & C podría ser extraído de código del ransomware. Por desgracia, los servidores C & C fueron alojados en un servicio de alojamiento gratuito. Decimos "por desgracia" porque alguien informó Autor de la ransomware, y la mayoría de los servicios de alojamiento gratuito no sólo suspendemos usuarios que rompen sus reglas, sino también suprimir sus datos.
Sí, lo leiste bien. Todas las claves de cifrado se eliminan, lo que significa que nadie puede descifrar esos archivos ahora, autor ni siquiera el de ransomware.No backdoor cifrado en EDA2 (Magia)
Hemos mencionamos anteriormente que Utku Sen dejó un defecto de cifrado en el proyecto Tear Oculto. Esto no sucedió en EDA2. Softpedia en contacto con el investigador, que estaba en el proceso de encerrar un blog sobre este tema, que antes de haber sido alertado de que su código EDA2 se abrió camino en las manos de algún grupo criminal.
Como el investigador reveló, el proyecto ransomware EDA2 no sólo vienen con el código del ransomware real y las instrucciones sobre cómo personalizar, pero era un kit de delincuencia completa y también incluyó un panel de administración basado en PHP donde se enviaron todas las claves de cifrado.
Utku pensó que, esta vez, iba a poner un módulo de cifrado en pleno funcionamiento en el ransomware pero deja una puerta trasera en el panel de administración, lo que le permitiría acceder a la base de datos y robar las claves de cifrado si cualquier autor de malware nunca pensó en utilizar su abierta proyecto EDA2 -source.
Puesto que los servidores C & C han sido derribados, la cuenta de puerta trasera es ahora inútil. A menos que el proveedor de alojamiento gratuito saca un conejo de un sombrero y misteriosamente se encuentra una copia de seguridad de los datos, todos los archivos cifrados ransomware mágicos se han ido para siempre.Parece que ransomware de código abierto es una idea terrible
"Por lo que puedo decir mirando a través del código, es poco probable que habrá una manera de arreglarlo", dice Fabian Wosar, un investigador de seguridad Emsisoft que anteriormente logró descifrar diferentes familias ransomware.
Por el momento, la comunidad infosec no parece ser muy agradecidos por la decisión de Utku Sen de código abierto sus experimentos ransomware.
Sólo publicó dos proyectos ransomware "educativos", pero ambos fueron atrapó rápidamente por los autores de malware y se utiliza para fines no educativos. A pesar de sus mejores intenciones, su experimento fracasó de forma desastrosa.
"Me di cuenta de mi error en ese momento. Me dejó todo en manos de criminales. Debería haber sido error a prueba", dice Utku por no incluyendo un defecto de cifrado en la fuente y la decisión de ir con una puerta trasera al panel de administración.
"He quitado todos los archivos y se compromete de proyecto Eda2. Ya que nadie ha descubierto la puerta trasera para Eda2, no voy a revelar ahora. Porque podemos hacer frente a las nuevas implementaciones Eda2 en futuro", también agregó: "Estoy lo siento, no he logrado en esta ocasión ".
No comments