Новый шифровальщик-вымогатель SNSLocker и эпичный провал хакера.⁠⁠

АВТОР ШИФРОВАЛЬЩИКА SNSLOCKER ЗАБЫЛ УДАЛИТЬ ИЗ КОДА ИНФОРМАЦИЮ О СОБСТВЕННОМ СЕРВЕРЕ!

Исследователи компании Trend Micro рассказали о забавном случае: автор нового вымогателя SNSLocker забыл стереть из кода шифровальщика учетные данные собственного управляющего сервера.

Криптовымогатели сегодня появляются как грибы после дождя. Изучая очередную новинку в данной области, исследователи Trend Micro заметили в коде вредоноса нечто странное. Исходники SNSLocker содержали слишком много информации о C&C-сервере, включая жестко закодированный пароль.

Сам по себе шифровальщик SNSLocker нечем особенным не примечателен. Малварь написана на .Net Framework 2.0 и использует ряд популярных библиотек, к примеру Newtonsoft.Json и MetroFramework UI. Вымогатель применяет уже хорошо известную модель шифрования и задействует алгоритмы AES и RSA, выводит стандартное вымогательское сообщение, стандартный таймер и запрашивает у жертв средний по сегодняшним меркам выкуп — $300.

Исследователи пишут, что забытые в коде учетные данные — это своего рода веяние времени. Вымогатели как услуга становятся все популярнее, и злоумышленникам больше не нужно обладать глубокими техническими знаниями для осуществления атак. Достаточно оплатить подписку и воспользоваться готовым вредоносным сервисом, который создали другие люди.

Автор SNSLocker явно поступил именно так, не озаботившись даже минимальной кастомизацией малвари. К тому же злоумышленник, видимо, стремился сэкономить: вместо выделенного сервера он держал свой управляющий сервер у провайдера бесплатного виртуального хостинга, который оперативно отреагировал на запрос экспертов Trend Micro и заблокировал малварь. Также оператор SNSLocker использовал легитимный шлюз для приема платежей.

Пока командный сервер еще работал, исследователи воспользовались учетными данными из кода SNSLocker и получили доступ к панели управления малварью, в том числе ко всей статистике и ключам дешифрования. По итогам изучения «изнанки» шифровальщика, исследователи сообщили, что SNSLocker – глобальная угроза, вымогатель атакует пользователей по всему миру, отдавая предпочтение жертвам из США.

Источник: https://xakep.ru/2016/06/08/snslocker-fail-of-the-week/

1.4K постов25.5K подписчика

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Volvofixthispls

Тоесть, вы хотите сказать, что у человека хватило мозгов залезть в даркнет, купить там библиотеки, собрать по гайду шифровальшик, запилить управляющий сервер, скомплировать всё это дело, НО, СУКА ОСТАВИТЬ В КОДЕ АДРЕС СЕРВЕРА?

раскрыть ветку

DeNomad