Вымогатель Power Worm в процессе шифрования уничтожает файлы


Trend MicroНедавно обнаруженный вариант программы-вымогателя Power Worm (Crigent) в процессе шифрования случайно уничтожает файлы жертвы. Как выяснили исследователи, это происходит из-за ошибки в программировании. Напомним, впервые Power Worm был обнаружен еще в марте 2014 года специалистами из компании Trend Micro. Тогда вредонос был нацелен на документы формата Microsoft Word и Excel.

Новый вариант вымогательского ПО атакует широкий спектр типов файлов. Кроме этого от своих предшественников вредонос отличается еще и тем, что в нем некорректно реализован процесс шифрования. С его помощью автор вредоноса попытался упростить шифрование и сократить эксплуатационные расходы.

Также разработчик внедрил криптографический модуль с поддержкой алгоритма AES. Однако вместо сгенерированных случайным образом ключей он намеревался использовать статический AES-ключ, одинаковый для каждого пользователя.

Проблема здесь заключается в том, что в результате программной ошибки вымогатель начал генерировать случайные ключи для дешифровки вместо статических. А поскольку автор не предусмотрел специальный сценарий для обработки и хранения сгенерированных случайным образом ключей, то программа сначала шифровала файлы, а затем удаляла ключ для дешифрования. Вот и получается, что жертвы вредоноса могли восстановить свои файлы, только воспользовавшись их резервными копиями.


Обновлено (10.11.2015 19:49)