WannaCry. Сколько зарабатывают хакеры и расшифруют ли они файлы после оплаты?
Вот и спал пик обсуждения вируса-шифровальщика WannaCry ( он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt...), но в посте о декрипторах задавались вопросы по поводу случаев оплаты (биткоинами) расшифровки файлов хакерам.
Сегодня вернулся на Пикабу и решил порыть интернет на предмет дохода создателей зловреда. Это оказалось проще простого и заработали хацкеры:
Total ransomed: $130,240.63. Last payment made at: May 25th, 1:01 PM
График с сайта https://www.elliptic.co/wannacry/
Онлайн транзакции поступающие на биткоин адреса злоумышленников можно отследить в твиттер-боте по адресу:
Ведется трансляция с обозревателя блоков blockchain.info, ниже ссылки на транзакции по трем биткоин-адресам создателей вируса:
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8is...
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6N...
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNX...
Расшифровка.
А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((
Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет :
"Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки."
https://habrahabr.ru/company/pentestit/blog/328606/#comment_...
Похоже что заплатив выкуп ничего не добьемся, так что... мы помним что делать чтобы обезопаситься:
http://pikabu.ru/story/poznakomimsya_s_wannacry_poblizhe_504...
http://pikabu.ru/story/ssyilki_na_obnovleniya_microsoft_ms17...
Пфф... Так вообще можно тупо перезаписать сверху рандомом а вид делать будто зашифровал и требовать деньги.
https://xakep.ru/2017/05/18/wana-decrypt0r-race-condition/
5 с половиной лямов, нормально нормально