Ransomware z otwartym źródłem wymknął się spod kontroli – backdoor nie zadziałał…

Pisaliśmy ostatnio o opensource-owym ransomware szyfrującym dyski (Hidden Tear), jednak autor (Turek, Utku Sen) wprowadził tam specjalnie lukę, umożliwiającą odszyfrowanie „przejętych” zasobów dyskowych:

I decided to write a code which has huge security flaws so we can reverse the damage if anyone affected with it.

Turecki autor postanowił w swoich 'edukacyjnych’ eksperymentach jednak iść dalej – przygotował projekt EDA2, który tym razem (prawdopodobnie) nie posiadał specjalnie wprowadzonej luki w samym mechanizmie szyfrującym. Był za to zaopatrzony w panel administracyjny (rodzaj C&C) i to tutaj autor wprowadził backdoor.

Zatem po przejęciu pewnej liczby ofiar przez ransomware zbudowany na bazie EDA2, Turek mógł dostać się do panelu i odszyfrować dyski pechowców (albo wyciągnąć od nich kasę?).

Jednak w realnym przypadku coś poszło nie tak. Na bazie (ctrl+c, ctrl+v) EDA2 powstał Magic Ransomware, z C&C na darmowym hostingu. Ktoś zgłosił fraud na adresie IP C&C, właściciel hostingu zaorał serwis i nie posiada backupów (nici zatem z użycia backdoora w panelu…).

Finał jest taki, że tym razem ofiary zostaną bez pomocy, nawet jeśli zapłacą okup.

Turek kwituje to tak: „I’m sorry, I failed this time.” i usuwa projekt EDA2 z githuba.

–Michał Sajdak