Magic - вымогательское ПО на основе исходного кода проекта EDA2


Trojan-vimogatel MagicMagic - новый вид вымогательского ПО, основанный на учебном проекте с открытым исходным кодом EDA2.

Проект EDA2 разработан турецким исследователем безопасности Утку Сеном (Utku Sen). В образовательных целях специалист ранее создал аналогичное вымогательское ПО, названное Hidden Tear. Чтобы его разработка не использовалась в злонамеренных целях, исследователь встроил в исходный код Hidden Tear и EDA2 бэкдоры, которые позволяют ему в случае чего восстановить зашифрованные данные.

Однако, исходный код EDA2 злоумышленники все же использовали для своих целей. Новый вредонос инфицирует устройства жертв неизвестным способом. Шифрование файлов на компьютерах пользователей применяется с использованием алгоритма AES. При этом зловред меняет расширения на .magic. Ключ шифрования троян-вымогатель хранит не на компьютере жертвы, а на C&C-сервере. За восстановление доступа к данным киберпреступники требуют от жертв выкуп в биткоинах.

Вредоносное ПО было размещено хозяевами на C&C-сервере на бесплатном хостинге. Выявив вредоносный код, администрация ресурса удалила учетные записи злоумышленников и все находящиеся на сервере данные, включая ключи расшифровки. В результате этих действий восстановление зашифрованных данных стало невозможным.

Произошедший инцидент заставил Утку Сена завершить свою работу над проектом EDA2, а также удалить исходный код вредоноса из репозитория в GitHub. Как заверяет исследователя, бэкдор был встроен в административную панель, и если бы C&C-сервер до сих пор функционировал, то можно было бы получить доступ к базе данных и расшифровать данные пострадавших пользователей.


Обновлено (25.01.2016 23:49)