Użytkownicy, którzy padli ofiarą oprogramowania żądającego okupu (tzw. ransomware) o nazwie Polyglot, znanego również jako MarsJoke, mogą teraz przywrócić swoje pliki dzięki narzędziu opracowanemu przez ekspertów z Kaspersky Lab. Trojan Polyglot rozprzestrzenia się za pośrednictwem wiadomości spamowych zawierających szkodliwy załącznik spakowany w archiwum RAR.
Podczas procesu szyfrowania trojan nie zmienia nazw plików na zainfekowanej maszynie, ale blokuje do nich dostęp. Po zakończeniu szyfrowania zamiast tapety na ekranie komputera ofiary pojawia się żądanie okupu. Oszuści żądają wykonania płatności w bitcoinach, a jeśli opłata nie zostanie zrealizowana na czas, trojan usunie się z zainfekowanego urządzenia, pozostawiając wszystkie pliki w postaci zaszyfrowanej.
Nowy trojan przypomina niesławne oprogramowanie ransomware CTB-Locker, jednak po odpowiedniej analizie eksperci z Kaspersky Lab nie wykryli żadnych podobieństw między kodem tych szkodników. Polyglot naśladuje CTB-Lockera w niemal każdym aspekcie. Posiada prawie identyczny interfejs graficzny, podobny ciąg działań jest wymagany w celu uzyskania klucza deszyfrującego, tak samo wygląda strona płatności, tapeta pulpitu itd. Twórcy Polyglota najwyraźniej myśleli, że naśladując CTB-Lockera, mogą zwieść użytkowników, tak aby sądzili, że zostali zaatakowani przez poważne szkodliwe oprogramowanie i nie mają innego wyboru niż zapłacić przestępcom.
Eksperci z Kaspersky Lab dokładnie zbadali mechanizm szyfrowania Polyglota i stwierdzili, że w przeciwieństwie do CTB-Lockera stosuje on słaby generator kluczy szyfrowania. Przeszukiwanie całego zbioru możliwych wariantów kluczy deszyfrowania Polyglota przy użyciu metody siłowej (ang. brute-force) można przeprowadzić na standardowym komputerze PC w ciągu niecałej minuty. Wykrycie tego słabego punktu pozwoliło ekspertom z Kaspersky Lab opracować narzędzie, które może pomóc odblokować dane ofiar szkodnika.
– Przypadek ten uczy nas, aby nigdy się nie poddawać: oprogramowanie ransomware stało się poważnym problemem dla wszystkich użytkowników, czasem jednak rozwiązanie istnieje. W tym przypadku autorzy szkodliwego oprogramowania dopuścili się błędu, który umożliwił złamanie szyfrowania. Jednak jeśli chodzi o ransomware, użytkownicy nie powinni polegać jedynie na szczęściu. Przypadek ten stanowi bardziej wyjątek niż regułę, dlatego zalecamy wszystkim, aby chronili swoje urządzenia w sposób proaktywny poprzez wykorzystywanie niezawodnego rozwiązania bezpieczeństwa i dopilnowanie, aby wszystkie technologie ochrony przed szyfrowaniem były włączone. Nie można także zapominać o regularnym wykonywaniu kopii zapasowej najważniejszych danych – powiedział Anton Iwanow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
Produkty Kaspersky Lab wykrywają omawiane oprogramowanie ransomware jako Trojan-Ransom.Win32.Polyglot i PDM:Trojan.Win32.Generic.