Вымогатель PowerWare старательно копировал Locky, но его шифрование все равно взломали

Начиная с самых первых версий, вымогатель PowerWare пытался замаскироваться под представителя других семейств малвари. К примеру, ранее он уже имитировал CryptoWall и TeslaCrypt. Исследователи Palo Alto Networks сообщают, что теперь шифровальщик имитирует поведение Locky, однако не слишком успешно: специалисты сумели взломать его шифрование и представили бесплатный инструмент для расшифровки данных.

Впервые шифровальщик PowerWare был замечен экспертами компании Carbon Black в марте текущего года. Тогда исследователи сделали вывод, что вредонос представляет собой более комплексную версию вымогателя PoshCoder, известного еще с 2014 года.

Как уже было сказано выше, авторы PowerWare пошли по пути наименьшего сопротивления, и их вредонос стал подражать сначала CryptoWall, а позже TeslaCrypt. Еще в марте текущего года вымогатель выдавал себя за одну из версий TeslaCrypt, однако недавно разработчики данного шифровальщика свернули все свои операции и переключились на другую малварь. Создателям PowerWare тоже пришлось найти себе новый «образец для подражания» и их выбор пал на Locky, который на данный момент является одним из наиболее активных и опасных шифровальщиков в мире.

Так как PowerWare предпочитает скрываться в тени более известных угроз, наиболее последняя версия PowerWare подменяет расширение зашифрованных файлов на .locky, слово в слово копирует сообщение Locky с требованием выкупа, и даже сайт, через который жертвы вымогателя должны производить оплату, выглядит практически аналогично сайту Locky.

На специалисты Palo Alto Networks доказывают, что скопировать текст и дизайн сайта – это далеко не самое главное. PowerWare использует для работы шифрования PowerShell и алгоритм AES-128, но малварь не генерирует случайные ключи и не отправляет их на сервер злоумышленников. Оказалось, что вместо этого единый ключ жестко прописан прямо в коде шифровальщика.

Обнаружив эту особенность малвари, исследователи смогли написать скрипт на Python, который жертвы могут запустить через Windows CLI и расшифровать свои данные.

Скрипт Palo Alto Networks в работе

Также эксперты Palo Alto Networks и AVG пишут, что авторы PowerWare явно не делали упор на качество кода и не пытались создать надежный шифровальщик. Так, малварь использует очень простой алгоритм и шифрует только первые 2048 байт каждого файла. Аналитики AVG отмечают, что такая же ситуация наблюдалась и в случае более ранних версий вымогателя, когда он еще не выдавал себя за Locky.