Мастер-ключи расшифровки программ-вымогателей Maze, Egregor и Sekhmet опубликованы на дискуссионном форуме BleepingComputer, обнаружило издание.
Сайт поделился файлами, содержащими ключи, с исследователями кибербезопасности Майклом Гиллеспи и Фабианом Восаром из Emsisoft, которые с тех пор подтвердили их подлинность.
В своем блоге пользователь по имени Topleak утверждает, что утечка информации была запланирована и никак не связана с недавними арестами. В прошлом году в Украине были задержаны предполагаемые члены группы-вымогателя Egregor (ранее известной как Maze). Имена подозреваемых не разглашаются, но представители правоохранительных органов заявили, что они оказывали Конхунто Эгрегору «компьютерную, логистическую и финансовую хакерскую поддержку».
Доступны мастер-ключи дешифрования
Топлек добавил, что группировка «никогда не вернется к подобному виду деятельности», отметив, что ее время грабежа компаний прошло. Аналогично, весь исходный код каждого инструмента, использованного в вашей кампании, был удален.
«Никогда не забывайте, что все, что вы воспринимаете, — это лишь мечта Бога. Завершите свою работу. Работа завершена.
Файлы, размещенные на дискуссионном форуме, включают девять главных ключей расшифровки для исходной вредоносной программы Maze, нацеленной на пользователей, тридцать главных ключей расшифровки для вредоносной программы Maze, нацеленной на предприятия, девятнадцать главных ключей расшифровки для Egregor и один ключ расшифровки для Sekhmet.
Ключи используются для расшифровки зашифрованных ключей, которые обычно содержатся в сообщении с требованием выкупа после взлома.
Среди файлов, размещенных на дискуссионном форуме, также есть исходный код «модульного файлового вируса x86/64» M0yv, который операторы Maze использовали в предыдущих атаках.
«Существует также довольно безобидный исходный код модульного вируса x86/x64 файлов m0yv EPO, обнаруженный в дикой природе как вирус Win64/Expire, но срок его действия на самом деле не истек, но антивирусные движки предупреждают его таким образом, поэтому он не ничего общего с газаватом не имеет», — говорится в издании.
«Исходный код M0yv — это плюс, так как в течение многих лет не было существенного резидентного исходного кода программного обеспечения, так что поехали».
Через: BleepingComputer