PowerWare - Lockyho retardovaný bratranec

Pokud se na vašem počítači začnou ztrácet soubory a místo nich se objevují soubory s podobným jménem ale koncovkou .locky, pak jste se pravděpodobně stali obětí ransomwaru Locky a nebo jeho mentálně postiženého "bratrance". Bezpečnostní analytici z laboratoří Palo Alto analyzovali malware, který se snaží na své oběti působit dojmem, že se jedná o nechvalně známý ransomware Locky, ačkoli jde ve skutečnosti o velmi nepovedený plagiát. Možná se ptáte, proč se vlastně jeho autoři snaží tuto iluzi vyvolat. Odpověď je jednoduchá. O Lockym je známo, že šance na obnovu dat bez zaplacení výkupného je poměrně malá (na druhou stranu je třeba zmínit, že provozovatelé Lockyho alespoň po zaplacení opravdu poskytnou funkční klíč k dešifrování dat (což ve špinavém světě ransomwarového byznysu nebývá pravidlem). Tato varianta ransomwarové rodiny "PoshCoder" byla výzkumným týmem pojmenována PowerWare a od skutečného Lockyho se na pohled téměř neliší. Podstatný rozdíl je však v použité kryptografii, která sice používá stejně silný šifrovací algoritmus AES128 jako skutečný Locky, ale na rozdíl od něj používá pevný klíč uložený přímo v kódu malwaru, a navíc šifruje pouze prvních 2048 bytů postižených souborů. Slabý návrh použité kryptografie umožnil analytikovi Joshi Grunzweigovi vytvořit dekryptovací program. Jedinou vadou na kráse je, že se jedná o pythonový skript, se kterým si méně zkušení uživatelé nebudou zprvu vědět rady. Nicméně i tito uživatelé by měli být schopni jej po prostudování tohoto návodu použít.

zdroj: www.csirt.cz