Разработчики вируса-шифровальщика CryptoDefence забыли удалить дешифрующие крипто-ключи

Эксперты Symantec, проанализировав код вредоноса-шифровальщика CryptoDefence, вымогающего у пользователей деньги за предоставление дешифрующего ключа, и обнаружили в нем баг, позволяющий узнать этот самый дешифрующий ключ. Вообще, данный вредонос, зашифровывающий пользовательские файлы на инфицированном ПК, известен давно, и в Symantec даже не предполагали, что его еще используют злоумышленники.

В своей вредоносной деятельности CryptoDefence опирается на инфраструктуру Windows API, а также Microsoft, которые необходимы ему в целях генерирования последовательности шифрования и дешифрования.

Файлы зашифровываются посредством RSA-ключей, имеющих длину последовательности в 2048 бит. Для дешифровки используются закрытые ключи, отправляемые на сервер нападающего, чтобы затем послать их обратно жертве, когда та оплатит нужную сумму.

Но в этот раз вирусописатели неправильно реализовали шифровальный алгоритм, не учтя в нем или не зная, что частные ключи сохраняются на инфицированном ПК, что давало пользователям возможность без выкупа самим производить дешифровку своих файлов.

Атакующие при этом требовали за дешифровку не менее $500 (или евро в зависимости от места нахождения хакеров или жертвы), а если жертва отказывалась выплатить требуемое за 4 дня, то сумма удваивалась. По мнению экспертов Symantec, таким вымогательством злоумышленники смогли ежемесячно «отжимать» не меньше $34000.

Всего по статистике срабатываний антивирусов Symantec, этот вредонос сумел инфицировать 11000 хостов из 100 стран.