Ձեր վստահելի աղբյուրը

«Կասպերսկի» ընկերության հետազոտողները վերլուծել են HermeticRansom վնասաբեր ծրագիրը, որը հայտնի է նաև որպես Elections GoRansom՝ պարզելով, որ մեծ հաշվով դա բավականին պարզ ծածկագրիչ է: Նրանց կարծիքով՝ գրոհողներն այն կիրառել են ուշադրություն շեղելու նպատակով։

«Կասպերսկի» ընկերության Հայաստանի ներկայացուցչության փոխանցմամբ, «HermeticRansom-ը գրոհել է համակարգիչները մեկ այլ՝ տվյալները ջնջող վնասաբեր ծրագրի հետ միաժամանակ, որը հայտնի է որպես HermeticWiper, և, դատելով տեղեկատվական անվտանգության փորձագետների հանրակցության հավաքած տեղեկատվությունից, օգտագործվել է Ուկրաինայում վերջերս իրականացված կիբեռգրոհներում։

Վնասաբեր ծրագրի համեմատական պարզությունն ու ոչ ամենաարդյունավետ իրագործումը վկայում են այն մասին, որ HermeticRansom-ը կիրառել են որպես HermeticWiper-ի գրոհների «ծխածածկույթ»,- նշում են ընկերության փորձագետները:

Նրանք պարզաբանում են, որ տուժողի համակարգչում հայտնվելով՝ HermeticRansom-ը սկզբում նույնականացնում է կոշտ սկավառակները և հավաքում դիրեկտորիաների և ֆայլերի ցանկը, որոնք տեղակայված են ամենուր, բացի Windows և Program Files սկզբնական պանակներից: Այնուհետև այն ծածկագրում է որոշակի կատեգորիաների ֆայլերը և վերանվանում դրանք՝ անվանումներին կցելով .encrypted նշանը ու շորթողների փոստային հասցեն։ Վնասաբեր ծրագիրը նաև Desktop պանակում ստեղծում է read_me.html ֆայլը՝ փրկագնման և գրոհողների կոնտակտների մասին գրությամբ։

HermeticRansom-ը գրված է Golang լեզվով: Դրա մեջ չի օգտագործվում օբֆուսկացման (կոդը խճճելու) ոչ մի մեխանիզմ, իսկ բուն ծածկագրման կիրառված մեթոդը բավական ծանրաշարժ է և քիչ արդյունավետ։ Ինչպես կարծում են փորձագետները, դատելով այս և մի շարք այլ հայտանիշներից՝ վնասաբեր ծրագիրը ստեղծվել է հապշտապ:

Վնասաբեր ծրագրի ավելի մանրամասն տեխնիկական վերլուծությունը կարելի է կարդալ այստեղ։