Расшифровщик оказался посредником

Специалисты компании Check Point разоблачили деятельность сервиса Dr Shifro, предлагающего российским пользователям услуги по разблокировке файлов, зашифрованных в результате атак зловредов-вымогателей. Внимание исследователей привлекла реклама сервиса, сообщавшая, в частности, что Dr Shifro за несколько часов расшифровывает файлы, заблокированные зловредом Dharma. Это вредоносное ПО использует алгоритм шифрования RSA-1024. Эксперты сходятся во мнении, что взломать его можно, но на эту работу уйдут годы, если не десятилетия. Каким образом неизвестной российской компании удается сделать это за считанные часы? В Check Point предположили, что сервис Dr Shifro всего лишь выступает в качестве посредника между организаторами атак и их жертвами. И эксперимент подтвердил эту догадку.

Исследователи зарегистрировали два адреса электронной почты – для «вымогателя» и «жертвы». Затем они зашифровали некоторое количество файлов с помощью Dharma, составили фальшивое требование выкупа – и обратились за помощью в Dr Shifro. Через некоторое время сервис прислал письмо на адрес «вымогателя»: он выражал готовность заплатить за расшифровку и просил о скидке. Одновременно Dr Shifro связался и с «жертвой», обозначив стоимость услуг по расшифровке. Она оказалась почти на 1000 долларов выше, чем сумма, которую запросил сам «вымогатель». Таким образом, бизнес-модель сервиса оказалась предельно простой. Dr Shifro платил вымогателям за расшифровку из своего кармана, но с лихвой компенсировал траты, существенно повышая стоимость для жертв. Анализ транзакций криптовалютного кошелька Dr Shifro показал, что через него за два года прошло свыше 100 биткоинов – сумма достаточно внушительная.

Самое поразительное состоит в том, что исследователям удалось выяснить личность организатора бизнеса. В качестве подтверждения легитимности своей работы он выслал «жертве» копии регистрационных документов, включая сканированную копию паспорта. Его адрес электронной почты также оказался ассоциирован с несколькими учетными записями в социальных сетях, позволяющими подтвердить его личность. За деятельностью Dr Shifro стоит некий гражданин Белоруссии, имя которого не разглашается, поскольку у СМИ и исследователей нет уверенности, что его действия являются противозаконными. Впрочем, этичность этих действий вопросов не вызывает.

Источник: The Register