Исходники шифровальщика Paradise опубликованы на хакерском форуме

Мария Нефёдова Комментарии 8,533 Рекомендуем почитать: Реверс малвари Специалист компании Security Joes Том Малка заметил, что на хакерском форуме XSS опубликован полный исходный код .NET-версии шифровальщика Paradise. Это вторая крупная утечка кода вымогательского ПО за последние годы (в начале 2020 года в сети был выставлен на продажу исходный код вымогателя Dharma).

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
    • ГлавнаяНовостиНовостиНовости, 202111Новости, 202111 → Исходники шифровальщика Paradise опубликованы на хакерском форуме
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Подлинность опубликованных файлов уже подтверждена ИБ-аналитиками Бартом Блейзом и MalwareHunterTeam, которые ранее изучали несколько вредоносных кампаний Paradise.

Малка рассказывает, что скомпилировал пакет и обнаружил, что тот создает три исполняемых файла: конструктор конфигурации вымогателя, шифровальщик и дешифратор. Также отмечается, что по исходному коду разбросаны комментарии на русском языке.

Малварь Paradise, впервые обнаруженная в сентябре 2017 года, работала по классической схеме «вымогатель-как-услуга» (Ransomware-as-a-Service, RaaS). Хотя в настоящее время такая малварь, как правило, атакует крупные компании в погоне за большими деньгами, Paradise в основном использовался для атак на рядовых пользователей и небольшие бизнесы.

Paradise успешно работал годами, и его разработчики постоянно выпускали новые версии, в том числе версию .NET, которая использовалась для ограниченных атак в 2019 и 2020 годах. Известный ИБ-эксперт Майкл Гиллеспи, разработавший один из дешифраторов для Paradise, сообщил журналистам Bleeping Computer, что шифровальщик существовал в трех разных вариантах:

  • Paradise - нативная версия, в которой были недостатки, позволяющие создать дешифратор;.
  • Paradise .NET - более безопасная .NET-версия с использованием шифрования RSA;
  • Paradise B29 - вариант, который шифрует только конец файла.

Гиллеспи говорит, что неясно, были ли все эти вредоносы созданы одной и той же хак-группой, поскольку все они циркулировали примерно в одно и то же время с тысячами различных расширений.

В октябре 2019 года компания Emsisoft выпустила бесплатный инструмент для дешифрования пострадавших от Paradise данных.  И хотя через несколько месяцев создатели Paradise выпустили новые версии малвари, вскоре уже специалисты Bitdefender создали второй дешифратор.

С тех пор популярность Paradise стала быстро снижаться, и исследователи обнаруживают все меньше и меньше кампаний по его распространению. Так, один из «арендаторов» Paradise привлек к себе внимание в марте 2020 года, когда использовал для распространения малвари спам-кампанию с файлами IQY.

В целом же с тех пор пейлоады Paradise стали редкостью, и последний образец был замечен в январе текущего года. Аналитики компании SonicWall писали об обнаружении вымогателя Cukiesi, который, похоже, был «форком» старого Paradise, однако и эта малварь просуществовала недолго.

На сегодняшний день нативная версия вымогателя Paradise все еще заражает нескольких новых жертв еженедельно: по данным MalwareHunterTeam, сервис ID-Ransomware получил только две жалобы на Paradise за последние 30 дней.

Хотя в открытый доступ попала менее используемая версия .NET, эксперты все равно предупреждают, что на основе этих исходников создать собственное вымогательское ПО сможет любой желающий. Хуже того, шифровальщик, созданный в рамках эксперимента Бартом Блейзом, классифицирован ID-Ransomware как не поддающийся расшифровке.

Эксперты подсчитали: за 10 лет мобильный трафик вырос в 300 раз

Компания Ericsson представила десятый, юбилейный, выпуск своего ежегодного отчета Ericsson Mobility Report, посвященного основным тенденциям развития отрасли телекоммуникаций. В отчете приводится статистика за последние 10 лет и прогноз развития отра...

Смартфоны следят за нами: как отключить сохранение перемещений на iOS и Android

Ваше местоположение и все перемещения отслеживают не только карты, но и средства операционной системы смартфона. С одной стороны, это полезная функция, но иногда она может сыграть против вас. Редакция ZOOM.CNews рассказывает, как отключить отслеживан...

В России появился мессенджер с ВКС и искусственным интеллектом

На «Видео+Конференции 2021» компания TrueConf провела презентацию нового поколения российских ВКС-решений для рабочих мест и смартфонов, созданных для безопасной совместной работы. «Под капотом» полноценный мессенджер, большие видеоконференции и техн...

Роскомнадзор передал в суд два дела против Facebook и Google

Роскомнадзор передал в судебный участок мирового судьи № 422 Таганского района два дела об административных правонарушениях по ч. 5 ст. 13.41 КоАП РФ в отношении компаний Facebook и Google. Об этом РБК сообщили в пресс-службе ведомства. Причина - пов...

Первое мобильное приложение для профессиональной Ассоциации

Ассоциация АКОН совместно с компанией «В Групп» дала старт работе мобильного приложения «ОкРОН», доступного для скачивания на платформах Android и iOS. Приложение позволяет осуществлять интерактивные коммуникации членов Ассоциации в рамках тематическ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK
Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202111Новости, 202111 → Исходники шифровальщика Paradise опубликованы на хакерском форуме