De beveiligingsonderzoeker Utku Sen, die een tijd geleden de broncode van twee zelfgemaakte ransomware-pakketten publiceerde, heeft in z'n blog aangegeven dat slachtoffers van de RANSOM_CRYPTEAR.B-ransomware alsnog hun bestanden terug kunnen krijgen.

Hidden Tear

Sen is zich er van bewust dat er veel kwaadwillenden zijn die op basis van zijn vrijgegeven ransomware, Hidden Tear, een eigen pakket maken en dat lang niet iedereen daar even goed in is. Eerder berichtten wij dat dat de RANSOM_CRYPTEAR.B-ransomware zo slecht in elkaar zat dat slachtoffers hun data zo goed als kwijt waren en de kans klein was dat ze deze nog terug konden krijgen. De ransomware versleutelde namelijk niet alleen de bestanden van het slachtoffer, maar ook de zelf-gegenereede sleutel waardoor de maker van Cryptear de bestanden ook niet meer kon ontsleutelen.

Sen meldt dat veel van de antivirus-bouwers niet of nauwelijks de moeite hebben genomen om de versleutelde bestanden te ontsleutelen. De onderzoeker heeft namelijk met opzet enkele zwakheden in het encryptie-algoritme gebouwd om problemen als deze te kunnen tackelen en Hidden Tear te kunnen gebruiken als "honeypot" voor scriptkiddies.

De onderzoeker legt in deze blogpost uit hoe slachtoffers hun bestanden kunnen ontsleutelen. Daarnaast heeft hij een video gepubliceerd waarin hij de werking van het slecht geschreven stuk ransomware uitlegt.

Volgende pagina: Magic ransomware-slachtoffers zijn de pineut

EDA2

Naast de Hidden Tear-ransomware had de onderzoeker ook nog een ander stuk ransomware geschreven, uiteraard ook voor educatieve doeleinden. Dit pakket, genaamd EDA2 bevat geen (toegevoegde) zwakheden, alleen het toegevoegde "control-script" bevatte een opzettelijke achterdeur waarmee de (achterliggende) database bereikt kon worden.

Sen geeft in z'n blog toe dat hij hiermee de fout in is gegaan. De onderzoeker kreeg een e-mail van een slachtoffer die was besmet met "Magic", ransomware gebaseerd op Sen's EDA2 pakket. De onderzoeker ging aan de slag en probeerde de url van de C&C-server te achterhalen. Op deze locatie zouden namelijk de encryptiesleutels worden opgeslagen. Deze verwees echter naar een gratis hosting service waar de Magic-bouwer een account had aangemaakt.

De hostingpartij had echter de accounts gesloten en alle informatie verwijderd wegens het schenden van de voorwaarden. Sen hoopte nog in samenwerking met de hoster een backup terug te kunnen halen maar tevergeefs.

De hostingpartij vernietigt niet alleen de pagina's, maar ook de bijbehorende backups van gebruikers die zich niet aan de voorwaarden houden. Hierdoor waren alle sleutels verloren waardoor het voor slachtoffers nu écht onmogelijk is om hun versleutelde bestanden te ontsleutelen.

"Ik had een achterdeur in moeten bouwen die de hele database kopieert en doorstuurt naar een andere server mochten accounts worden opgegeven. Nu kan zelfs de crimineel de data niet meer terug halen. Vorige week maakte ik Trend Micro nog belachelijk voor het niet kunnen ontsleutelen van de [met RANSOM_CRYPTEAR.B besmette] bestanden en nu heb ik er zelf last van", schreef Sen.

De onderzoeker heeft alle bestanden en commits van z'n EDA2-project verwijderd maar zelf nog wel een kopie bewaard. Aangezien niemand de toegevoegde zwakheden in het control script nog ontdekt heeft kan deze code nog van pas komen. De kans is namelijk aanwezig dat er in de toekomst nog meer ransomware ontdekt wordt die gebaseerd is op EDS2. Slachtoffers van die pakketten zouden nog geholpen kunnen worden dankzij de ingebouwde zwakheden.

Volgende pagina: Educatieve ransomware, waarom?

De reden achter de educatieve ransomware

Sen heeft de afgelopen maanden aardig wat ellende over zich heen gekregen voor het publiceren van de ransomware. Veel websites, beveiligers en gebruikers op fora bekritiseren de onderzoeker en vragen zich hardop af waarom je überhaupt "educatieve" ransomware zou bouwen.

De onderzoeker ging hier vorige week al op in en schreef daarover het volgende in z'n blog: "Toen bezig was met het onderzoeken van ransomware, vond ik alleen maar fraaie diagrammen en assembly-code waarin men uitlegt hoe de boel werkt.

Dit kan makkelijk zijn voor mensen die bekend zijn met assembly maar voor de meeste mensen is dat niet het geval, zeker niet voor newbies. Bovendien was er geen goede broncode aanwezig welke gebruikt kon worden als voorbbeeld. Mijn hoofdmotivatie was het voorzien van broncode voor nieuwbies, studenten die het (achterliggende) proces proberen te begrijpen."

Honeypot

Sen's tweede motivatie was het bouwen van een honeypot voor scriptkiddies. "De meeste mensen zijn boos op mij omdat ik het voor scriptkiddies wel erg makkelijk heb gemaakt malafide code te schrijven. Maar ik weet dat scriptkiddies al lang zijn voorzien op dat gebied. Er zijn genoeg plekken op internet waar je 'ransomware-as-a-service' kan verkrijgen."

De onderzoeker claimt veel van deze services te hebben onderzocht en geen kwetsbaarheid kon vinden. Het was goed gebouwde ransomware waarmee kwaadwillenden hun slag kunnen slaan. Er is echter een klein addertje onder het gras. Gebruikers van deze services moeten 20% van hun winst delen met de ransomware-leverancier. "Mijn gedachtegang was, wat als deze mensen met een gratis `pakket` in de weer konden gaan, zouden zij dan nog de betaalde services gebruiken? Ik denk het niet."

Met deze gedachtegang schreef de onderzoeker Hidden Tear en voegde enkele grote lekken toe waardoor gedane schade ongedaan kan worden gemaakt. Tot grote teleurstelling van de onderzoeker was het honeypot-project niet echt een groot succes, maar Sen is wel blij dat hij de schade van de Linux-ransomware heeft kunnen beperken en tegelijkertijd newbies iets nieuws heeft kunnen leren.