Зле написан рансъмуер изнудва потребителите, но не може да разшифрова файловете

През месец август 2015 година турските IT-специалисти от групата Otku Sen публикува в GitHub сорс кода на изнудваческия вирус Hidden Tear, създаден само за образователни и научни цели. Създателите на Hidden Tear съобщиха в своя блог, че рансъмуерът е капан за мързеливи хакери, които вместо да напишат своя програма, използват чужд код. Специалистите уверяваха всички, че в кода на Hidden Tear има задна врата, която дава възможност за незабавно разшифроване на заразените файлове.

[You must be registered and logged in to see this image.]

Trend Micro съобщи днес, че поне един хакер се е хванал. Специалистите на Trend Micro разкриха вируса-изнудвач RANSOM_CRYPTEAR.B. През месец декември създателите на вируса проникнаха в парагвайски сайт и използваха този ресурс за препращане на потребителите към фалшива уеб-страница, която уж предлага обновяване за Adobe Flash Player. Вместо ъпдейт, потребителският компютър получава рансъмуера.

[You must be registered and logged in to see this image.]

Кодът на новия вирус се базира на Hidden Tear, но хакерите са решили да го подобрят. Шифриращият вирус показва съобщение за откуп на португалски език, което се показва вместо тапета на десктопа.
Другата и по-важна промяна е в ключа за шифриране. Вирусът просто отхвърля подадения ключ, без да го изпраща към команден сървър. Не е ясно, дали това е направено нарочно, но тази промяна прави вградената задна врата в оригинални вирус напълно безполезна.
Независимо дали това е бъг или грешка, откупът е в размер на $500, файловете се шифроват, а парите се трупат в Bitcoin-портфейл.


/kaldata.com