Издание Bleeping Computer сообщает о том, что создатели знаменитого трояна TeslaCrypt, который зашифровывал файлы на атакованных машинах, опубликовали мастер-ключ для разблокировки и закрыли проект.
Изначально TeslaCrypt атаковал главным образом геймеров — троян выбирал своими целями файлы, ассоциируемые с рядом популярных онлайн-игр. Жертве демонстрировалась ссылка на сайт для приема оплаты для разблокировки — злоумышленники требовали несколько сотен долларов. Распространение вируса происходило с помощью скомпрометированных веб-сайтов. Кроме того, зловред входил в состав популярных эксплоит-паков Nuclear, Sweet Orange и Angler.
По сообщению журналистов Bleeping Computer, впервые снижение активности трояна было замечено ИБ-исследователями из компании Eset. Один из них решил попытать удачу и связался с разработчика TeslaCrypt через чат поддержки на сайте для приема оплаты, попросив опубликовать мастер-ключ для разблокировки. К своему удивлению, он получит положительный ответ, и вскоре ключ действительно был выложен в открытый доступ:
Благодаря этому, исследователь под ником BloodDolly смог обновить популярную утилиту для разблокировки TeslaDecoder — теперь инструмент может расшифровывать файлы, заблокированные зловредом версии 3.0 и 4.0. Это значит, что все жертвы TeslaCrypt, на компьютерах которых были зашифрованы файлы расширений .xxx, .ttt, .micro, .mp3, а также файлы без расширений, смогут бесплатно их расшифровать. Свой разблокировщик создали и специалисты Eset.
Место TeslaCrypt должен занять еще один троян-шифровальщик CryptXXX. По данным исследователей, уже сейчас замечены случаи, когда сайты ранее распространявшие TeslaCrypt теперь устанавливают на компьютеры пользователей CryptXXX.
Комментарии (25)
shtirlitsus
19.05.2016 18:18+10и закрыли проект
Скоро на кикстартере будут набирать деньги на подобные проекты
winDeD
20.05.2016 15:08+35$ — футболка «я под паролем»
20$ — 1 Ключ
50$ — 3 ключа для тебя и твоих друзей
100$ — возможность заказать «друга»
5000$ — обед с разработчиками
10 000$ — внести свое имя в список разработчиков
50 000$ — программа высылается вам по почте на флешке
P.S. А ведь ХабраЖители просили Кикстартер программу на флешку «убийцу компов»
vilgeforce
19.05.2016 18:28Кстати о CryptXXX: авторы очень оперативно выкатили третью версию после появления расшифровки для 2.005/2.006, но к счастью, эта дрянь и в подметки Тесле не годится.
Lure_of_Chaos
19.05.2016 23:55+4Вот так просто отказались от проекта, который приносил по сотне с носа? Не верю. Детали не раскрыты.
Тут либо создателей хорошенько взяли за я… кота, либоавторымошенники вырастили новое поколение криптолокеров и ушли глубже.
merlin-vrn
20.05.2016 08:43Ну что вы сразу плохо о людях думаете.
Может, это чистосердечное признание с просьбой выставить всё вот в таком светлом и радужном виде.
themtrx
20.05.2016 14:53+1Ну, не все бесконечно жадны. Может, его разработчики собирали деньги на лечение или выплаты срочных долгов. А может, это был просто тест алгоритма написания лоадера и/или самого локера. Типа «взлетит/нет».
winDeD
20.05.2016 14:53Так резко, схоже больше что «к ним пришли». Либо внутренние проблемы в команде. Если был бы вариант с новинкой, то зачем этот закрывать, пусть работает.
fivetheabyss
20.05.2016 09:32Ну у них и правда шифрование было на высоком уровне, мне кажется их просто кто-то купил или «наняли» военные\спецслужбы и тд, для систем шифровки своих же данных.
vilgeforce
20.05.2016 10:43+1Гражданские специалисты изобрели эллиптическую криптографию 30 лет назад, чтобы теперь нанимать для ее же использования преступников? Хорошая версия, но нет.
paratrooper5730
20.05.2016 11:27для людей, которые деньги дают и решения принимают, важен не матан, который они не понимают, а пример практического использования. А у этих преступников такой пиар на весь мир.
vilgeforce
20.05.2016 11:31+1Там за бугром сидят не дураки, изобретающие местные стандарты криптографии…
EviGL
20.05.2016 14:53+1Звучит как очень юридически корректный способ сказать, что сотрудник Eset нашёл уязвимость, залил шелл, слил ключ разблокировки и удалил содержимое сайта :)
darkfrei
24.05.2016 22:41Может это не совсем настоящий ключик? Ну, файлы расшифровывает. Но спустя год, когда все бекапы будут по десять раз затёрты, скрипт запустится и попросит 10 денег, любой откат даст временный результат, таймер всё равно дотикает и заблокирует файлы ещё разок.
vilgeforce
26.05.2016 17:24Может, вы просто возьмете и проверите, тот это ключ или нет?
darkfrei
27.05.2016 01:31-1Это не значит что зловред отключается навсегда. Прописаться в каждом бекапе — вот где цель.
vilgeforce
27.05.2016 01:33И что же это за цель-то такая, при наличии в публичном доступе приватного ключа?
darkfrei
27.05.2016 01:42-1Хитрый план, но вряд ли второй ключ совадает с первым и будет столь бесплатен.
vilgeforce
27.05.2016 01:43Вы, верно, к ночи устали. Где в этом трояне «второй» ключ?
darkfrei
27.05.2016 01:58-1Троян принял ключ. Но это не значит что он не запускается в фоне, поглядывая на таймер и ничего не делая.
vilgeforce
Спасибо! Это очень хорошая новость!
subirdcom
Кто-то использует IE :)
vilgeforce
Кто-то, кажется, промахнулся с комментарием…