Вчера вечером на форумах BleepingComputer предполагаемый разработчик вредоносного ПО опубликовал мастер-ключи дешифровки для операций Maze, Egregor и Sekhmet ransomware.
Программа Maze ransomware начала работать в мае 2019 года и быстро приобрела известность, поскольку именно она использовала тактику кражи данных и двойного вымогательства, применяемую сейчас многими операциями ransomware.
После того как Maze объявила о своем закрытии в октябре 2020 года, в сентябре они провели ребрендинг под названием Egregor, который позже исчез после того, как его члены были арестованы в Украине.
Операция Sekhmet была в некотором роде исключением, поскольку она была запущена в марте 2020 года, в то время как Maze все еще была активна.
Обнародованы основные ключи дешифровки
Прошло 14 месяцев, и на форумах пользователь под ником «Topleak», утверждающий, что он является разработчиком всех трех операций, опубликовал ключи дешифровки для этих операций.
Пользователь заявил, что эта утечка была запланированной и не связана с недавними операциями правоохранительных органов, которые привели к захвату серверов и арестам аффилированных с ransomware лиц.
«Поскольку это вызовет слишком много вопросов и большинство из них окажутся ложными, необходимо подчеркнуть, что это запланированная утечка, и она никак не связана с недавними арестами и задержаниями», — пояснил предполагаемый разработчик ransomware.
Они также заявили, что никто из членов их команды никогда не вернется к созданию ransomware и что они уничтожили весь исходный код своей ransomware.
Сообщение содержит ссылку на скачивание файла 7zip с четырьмя архивами, содержащими ключи расшифровки Maze, Egregor и Sekhmet, а также исходный код вредоносной программы ‘M0yv’, используемой бандой ransomware.
Каждый из этих архивов содержит открытый главный ключ шифрования и закрытый главный ключ дешифрования, связанный с конкретной «рекламой» или филиалом операции ransomware.
В целом, следующее количество мастер-ключей дешифрования RSA-2048, выпущенных на одну операцию программы-вымогателя:
- Maze: 9 основных ключей дешифрования оригинального вредоносного ПО, нацеленного на некорпоративных пользователей.
- Лабиринт: 30 мастер-ключей дешифрования.
- Эгрегор: 19 мастер-ключей дешифрования.
- Сехмет : 1 главный ключ дешифрования.
Майкл Гиллеспи из Emsisoft проверил ключи дешифрования и подтвердил BleepingComputer, что они законны и могут использоваться для расшифровки файлов, зашифрованных тремя семействами программ-вымогателей.
Гиллеспи сказал нам, что ключи используются для расшифровки зашифрованных ключей жертвы, которые встроены в записку о выкупе. В связи с этим жертвам потребуется записка с требованием выкупа, созданная во время атаки, чтобы использовать расшифровщик Emsisoft.
Компания Emsisoft выпустила дешифратор, позволяющий любым жертвам Maze, Egregor и Sekhmet, которые ждали, восстановить свои файлы бесплатно.
Бонусный исходный код вредоносного ПО my0v
Архив также включает исходный код «модульного заразителя файлов x86/x64» M0yv, разработанного операцией вымогателя Maze и ранее использовавшегося в атаках.
«Кроме того, существует немного безобидный исходный код полиморфного x86/x64 модульного EPO-файла-инфектора m0yv, обнаруженного в дикой природе как вирус Win64/Expiro, но на самом деле это не истекший срок действия, но антивирусные программы обнаруживают его именно так, так что ни одна вещь в общего с gazavat», — сказал разработчик программы-вымогателя в сообщении на форуме.
«Исходный код M0yv — это бонус, потому что в течение многих лет не было никакого основного исходного кода резидентного программного обеспечения, так что начнем», — позже объяснил разработчик.
Этот исходный код представляет собой проект Microsoft Visual Studio и включает в себя несколько уже скомпилированных библиотек DLL.
В файле todo.txt указано, что исходный код этой вредоносной программы последний раз обновлялся 19 января 2022 года.
Последнее обновление 05.01.2023
