ΑρχικήsecurityWannaRen ransomware: Οι δημιουργοί έδωσαν το κλειδί αποκρυπτογράφησης

WannaRen ransomware: Οι δημιουργοί έδωσαν το κλειδί αποκρυπτογράφησης

WannaRen ransomware

Τον Απρίλιο, Κινέζοι χρήστες είχαν δεχτεί επιθέσεις από ένα ransomware γνωστό ως WannaRen. Το συγκεκριμένο ransomware επιτέθηκε σε δεκάδες χιλιάδες οικιακούς χρήστες και εταιρείες της Κίνας και της Ταϊβάν μέσα σε μια εβδομάδα.

Η επιτυχία του WannaRen μπορεί να οφείλεται στο ότι ο κώδικάς του έχει κάποιες σχέσεις με το WannaCry, το ransomware που προκάλεσε χάος το Μάιο 2017 σε παγκόσμιο επίπεδο.

Οι δημιουργοί του WannaRen ransomware (όπως και του WannaCry) ενσωμάτωσαν το EternalBlue exploit στην αλυσίδα μόλυνσης τους, επιτρέποντας στο WannaRen να εξαπλωθεί χωρίς περιορισμούς μέσα σε εταιρικά δίκτυα πριν από την κρυπτογράφηση και την εμφάνιση του μηνύματος λύτρων.

Επίσης όπως και το WannaCry, έτσι και το WannaRen εξαπλώθηκε σαν “πυρκαγιά”, πολύ πιο πέρα ​​από αυτό που είχαν επιδιώξει οι δημιουργοί του ransomware, δημιουργώντας περισσότερη καταστροφή από ό,τι περίμεναν. Έτσι, οι δημιουργοί του κακόβουλου προγράμματος έδωσαν το κύριο κλειδί αποκρυπτογράφησης, ώστε όλα τα θύματα να μπορέσουν να ανακτήσουν τα αρχεία τους.

Hidden Shadow group

Πλέον, μπορούμε να πούμε με βεβαιότητα ότι το WannaCry ransomware δημιουργήθηκε από κυβερνητικούς hackers της Βόρειας Κορέας, που ήθελαν να μολύνουν μερικά θύματα, να πάρουν λύτρα και να χρησιμοποιήσουν τα κεφάλαια για το καθεστώς της Pyongyang. Οι συγγραφείς του WannaCry δεν ήθελαν να προκαλέσουν αυτό το χάος, καθώς αυτό είχε ως αποτέλεσμα να επικεντρωθεί όλη προσοχή πάνω τους.

Κάτι παρόμοιο μπορεί, επίσης, να ειπωθεί για τους συγγραφείς του WannaRen ransomware, μιας ομάδας που η κινεζική εταιρεία προστασίας από ιούς Qihoo 360 έχει ονομάσει Hidden Shadow.

Η ομάδα δραστηριοποιείται εδώ και χρόνια διανέμοντας μια ποικιλία κακόβουλων λογισμικών (keyloggers, trojans, cryptocurrency-mining malware) συνήθως μέσω πειρατικών ιστότοπων λήψης λογισμικού.

Το WannaRen ransomware άρχισε να χρησιμοποιείται στις 4 Απριλίου αυτού του έτους.

Σύμφωνα με πολλές πηγές, το αρχικό σημείο διανομής του WannaRen ήταν ένα τροποποιημένο πρόγραμμα εγκατάστασης για το πρόγραμμα επεξεργασίας κειμένου Notepad ++.

Χιλιάδες Κινέζοι χρήστες-θύματα άρχισαν να ζητούν βοήθεια για την αποκρυπτογράφηση των αρχείων τους σε κινεζικά φόρουμ, κοινωνικά δίκτυα και διαδικτυακές συνομιλίες, από την πρώτη ημέρα που άρχισαν να εντοπίζονται μολύνσεις του WannaRen ransomware.

Το WannaRen ransomware εξαπλώνεται σε δίκτυα

Τα θύματα ήταν τόσο οικιακοί χρήστες, όσο και IT προσωπικό που διαχειρίζεται εταιρικά δίκτυα (σε αυτά το WannaRen ήταν ιδιαίτερα επιθετικό).

Τρόπος μόλυνσης

Σε υπολογιστές όπου οι χρήστες εγκατέστησαν αυτήν την μολυσμένη έκδοση του Notepad ++, το installer εγκατέστησε ένα backdoor trojan, που ανέπτυσσε το EternalBlue exploit για να εξαπλωθεί στο δίκτυο (μέσω SMBv1). Επίσης, χρησιμοποιούσε ένα PowerShell script για να κατεβάσει και να εγκαταστήσει το WannaRen ransomware ή ένα Monero-mining malware.

Μετά την κρυπτογράφηση των συστημάτων, εμφανιζόταν ένα μήνυμα που απεικόνιζε τον Kim Jong-un της Βόρειας Κορέας και ζητούσε από τους χρήστες να πληρώσουν 0,05 bitcoin (~ 550 $) για να αποκρυπτογραφήσουν τα αρχεία τους.

Στα κρυπτογραφημένα αρχεία είχε προστεθεί η επέκταση “.wannaren”.

Οι δημιουργοί του WannaRen ransomware δίνουν το κλειδί αποκρυπτογράφησης

Από τη μέθοδο διανομής και το μικρό ποσό λύτρων, ήταν ξεκάθαρο ότι η ομάδα Hidden Shadow δεν είχε σκοπό να εξαπλώσει το ransomware τόσο γρήγορα και να στοχεύσει τόσα θύματα.

Λίγες μέρες μετά την έναρξη της διανομής του WannaRen ransomware, η ομάδα Hidden Shadow ήρθε σε επαφή με μια τοπική κινεζική εταιρεία κυβερνοασφάλειας που ονομάζεται Huorong Security (火 绒 ή Tinder Security) και της έδωσε το ιδιωτικό κλειδί κρυπτογράφησης του ransomware, ζητώντας από την εταιρεία να δημιουργήσει και να μοιραστεί ένα δωρεάν πρόγραμμα αποκρυπτογράφησης για τα θύματα.

Την ίδια ημέρα, στις 9 Απριλίου, η Huorong κυκλοφόρησε το πρόγραμμα αποκρυπτογράφησης για το WannaRen ransomware. Αργότερα, ένα εργαλείο κυκλοφόρησε και από τη RedDrip της QiAnXin Technology.

Ωστόσο, ενώ η συντριπτική πλειονότητα των θυμάτων του WannaRen βρίσκονταν στην Κίνα, το ransomware είχε εξαπλωθεί μέσω εσωτερικών δικτύων από κινεζικές θυγατρικές σε ορισμένες ξένες εταιρείες.

Πολλές από αυτές τις εταιρείες ενδέχεται να μην γνωρίζουν ότι υπάρχει ένα δωρεάν εργαλείο αποκρυπτογράφησης, ή μπορεί να μην εμπιστεύονται τα εργαλεία που δημιουργήθηκαν από τους δύο Κινέζους προμηθευτές ασφάλειας. Γι’ αυτό το λόγο, η ρουμανική εταιρεία Bitdefender κυκλοφόρησε, επίσης, το δικό της βοηθητικό πρόγραμμα αποκρυπτογράφησης.

Οι μολύνσεις του WannaRen φαίνεται να έχουν εξαφανιστεί, αλλά τα θύματα που ενδέχεται να έχουν κρυπτογραφημένα αρχεία από τον Απρίλιο μπορούν τώρα να τα αποκρυπτογραφήσουν δωρεάν.

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS