Авторы трояна-шифровальщика WannaRen сами отдали ключ дешифровки
Ключ для расшифровки файлов, зашифрованных вредоносной программой WannaRen, отдали компании по кибербезопасности Huorong Security авторы трояна, 19 августа сообщает портал ИТ-новостей ZDNet.
Троян-шифровальщик WannaRen начал широкое распространение четыре месяца назад. Заражению подверглись десятки тысяч машин, как пользовательских, так и в корпоративных сетях компаний из Китая и Тайваня.
Троян построен похожим образом на аналогичное программное обеспечение (ПО) WannaCry. В качестве отправной точки заражения авторы использовали зараженный установщик популярного ПО Notepad++.
Notepad++ достаточно популярен среди разработчиков ПО, но официальный сайт заблокирован в КНР из-за антикитайских настроений автора. Зараженный установщик злоумышленники выложили на сайт загрузки ПО Xixi. Поскольку Xixi достаточно популярен в Китае, то скачали зараженный установщик многие пользователи.
После попадания на компьютер жертвы, WannaRen использовал компонент (эксплойт) EternalBlue для распространения по внутренней сети через уязвимость в реализации протокола SMB в операционной системе (ОС) Windows.
Кроме того, запускался сценарий PowerShell для загрузки и установки основных вредоносных компонентов WannaRen — собственно трояна-шифровальщика и модуля для добычи криптовалюты Monero.
После шифрования файлов и блокировки пользовательского компьютера, программа требовала выкуп в размере 0,05 биткоина (чуть более 17 тыс. рублей по текущему курсу) за расшифровку. Требование сопровождалось иконкой с изображением лидера КНДР Ким Чен Ына.
Как и в случае с WannaCry, авторы WannaRen не планировали столь массовое заражение. После обнаружения в социальных сетях и на различных сайтах тысяч жалоб на блокировку компьютера и просьб прислать ключ, злоумышленники решили передать общественности авторский ключ (мастер-ключ).
Авторы вредоносного ПО связались с компанией Huorong Security и передали ключ. В свою очередь, компания опубликовала переписку и выпустила небольшую программу для дешифровки файлов.
На данный момент эпидемия программы для вымогательства в Китае почти закончена, но часть экземпляров попало через корпоративные сети в иностранные подразделения компаний, поэтому о полном завершении истории говорить пока рано.