Polyglot: шифровальщик-мим и лекарство от него

Троян-шифровальщик Polyglot очень хотел быть похожим на печально известный вымогатель CTB-Locker, но мы нашли от него лекарство.

Polyglot: шифровальщик-мим и лекарство от него

Различных вариантов и разновидностей троянов-шифровальщиков становится больше едва ли не каждый день. Создатели этой заразы по-прежнему считают это легким способом заработать кучу денег, несмотря на то что правоохранительные органы обратили на эту проблему пристальное внимание.

Более того, версий вымогателей настолько много, что их создатели начинают повторяться. Например, недавно обнаруженный троян-шифровальщик Polyglot, также известный как MarsJoke, старательно копирует известного и весьма мерзкого троянца CTB-Locker.

Заимствование прослеживается буквально во всем. Интерфейс Polyglot едва ли не идентичен окнам, которые выводит CTB-Locker. Он так же меняет обои рабочего стола на картинку с предупреждением, так же предлагает расшифровать любые пять файлов — на пробу.

Polyglot выводит абсолютно такую же инструкцию — текст просто скопирован из CTB-Locker. Даже окно ошибки отсутствия соединения как две капли воды похоже на то, что показывает CTB-Locker.

Polyglot: шифровальщик-мим и лекарство от него

Алгоритмы шифрования и работы с ключами Polyglot также использует те же самые — весьма стойкие. Распространяется он в основном через спам-рассылки — в письмах с вредоносными ссылками на якобы важные документы, а на самом деле — на архив со зловредом. В каждом случае установленный на компьютере Polyglot уточняет, сколько денег требовать за расшифровку, и выводит пользователю сумму. Например, в нашем случае он потребовал 0,7 биткойна — около $320.

Едва ли не единственное внешнее отличие клона от оригинала касается непосредственно результатов их деятельности — Polyglot оставляет зашифрованным файлам их «родное» расширение, тогда как CTB-Locker его меняет, чаще всего на .ctbl или .ctb2.

При этом перед нами два принципиально разных шифровальщика — общих моментов в коде Polyglot и CTB-Locker практически нет. Специалисты «Лаборатории Касперского» подозревают, что таким образом создатель Polyglot пытался навести исследователей на ложный след.

Polyglot: шифровальщик-мим и лекарство от него

К счастью, создатели Polyglot допустили ошибку при работе с генератором криптоключей. Это позволило нашим исследователям создать «лекарство», позволяющее расшифровать все поврежденные им файлы, не уплачивая выкуп

Файлы, зашифрованные CTB-Locker, расшифровать невозможно. А вот создатели Polyglot, к счастью, допустили ошибку при работе с генератором криптоключей. Это позволило нашим исследователям создать «лекарство» от Polyglot, позволяющее расшифровать все поврежденные им файлы, не уплачивая выкуп.

Для того чтобы расшифровать файлы, зашифрованные Polyglot/MarsJoke, необходимо скачать с сайта noransom.kaspersky.com бесплатную утилиту RannohDecryptor (подходят утилиты версии 1.9.3.0 и новее) и запустить ее.

Правда, стоит все-таки отметить, что это скорее счастливая случайность и полагаться на то, что вы всегда сможете расшифровать свои файлы, ни в коем случае не стоит. Например, в случае вымогателя CryptXXX с третьего раза его создателю таки удалось сделать алгоритм таким, чтобы наши утилиты не могли с ним справиться. Возможно, разработчик Polyglot также со временем доработает свое детище — это не редкость среди вирусописателей.

Лучшая защита от шифровальщиков — это их обнаружение еще до того, как они начали действовать. А для этого на вашем компьютере в обязательном порядке должно быть установлено качественное защитное решение — например, Kaspersky Internet Security.

Также мы настоятельно рекомендуем делать бэкапы и не открывать подозрительные вложения в письмах.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.