UTPRESSINGSVARE

Gir ut masternøkler til Maze og flere andre typer kryptovirus

Ofre for flere familier av utpressingvare kan nå låse opp filene sine.

Antivirus-leverandør Emsisoft, et kjent programvarehus drevet fra New Zealand, har gitt ut et gratisverktøy som kan låse opp krypterte filer med masternøklene som nå også er publisert.
Antivirus-leverandør Emsisoft, et kjent programvarehus drevet fra New Zealand, har gitt ut et gratisverktøy som kan låse opp krypterte filer med masternøklene som nå også er publisert. Montasje: Digi.no
10. feb. 2022 - 12:00

Denne uken har noen publisert masternøklene til tre familier av løsepengevirus kalt Maze, Sekhmet og Egregor.

Nøklene, som gjør det mulig å låse opp ofrenes nedlåste filer, ble delt av en anonym bruker som kaller seg «Topleak» i forumet til nettstedet Bleeping Computer.

Vedkommende oppgir å være utvikleren bak skadevaren. Noe motiv eller beveggrunner for hvorfor nøklene deles, fremgår ikke av innlegget.

Forfatteren hevder at dette er en planlagt lekkasje, igjen uvisst av hvilken grunn, som angivelig ikke skal ha noe med den siste tidens politiaksjoner og pågripelser av mistenkte cyberkriminelle å gjøre.

Gir ut dekrypteringsverktøy

I går fulgte antivirus-leverandør Emsisoft opp lekkasjen ved å utgi et eget gratisverktøy som skal kunne låse opp ofrenes filer.

Det er påkrevd å ha en kopi av løsepenge-notatet for å kunne dekryptere innholdet, ifølge en tilhørende oppskrift.

Har trolig samme opphav

Maze dukket opp i mai 2019. Det er blant de første kryptovirusene som tok i bruk såkalt «dobbel utpressing», der ofrene ble truet med lekkasje av stjålne filer hvis de nektet å samarbeide. En teknikk som siden er kopiert av mange andre.

1. november 2020 varslet Maze nedleggelse. Gruppas nettsted for lekkasjer og uthenging av ofre forsvant. På samme tid dukket Egregor opp, som mange sikkerhetseksperter mener er arvtakeren, eller en rebranding av virksomheten. I februar 2021 ble flere mistenkte medlemmer pågrepet i Ukraina, som ledd i en aksjon der franske og ukrainske politimyndigheter samarbeidet.

Sekhmet er noe eldre, men regnes som en nær slektning av dem begge. Det å gjenoppfinne seg selv og bytte identitet eller merkevare på skadevaren er vanlig blant cyberkriminelle. Det er blant de eldste triksene i boka, ifølge sikkerhetsspaltist Brian Krebs, som har lagd en grafisk fremstilling av slektskapet mellom en rekke ulike kryptovirus.

Det bør kanskje tas i betraktning ved vurderinger av troverdigheten til «Topleak», som i innlegget sitt påstår at alle team-medlemmene har gitt seg for godt og aldri mer vil returnere til slike aktiviteter.

Løsepengevirus er effektive, men ikke nødvendigvis perfekte – og det kan utnyttes.
Les også

Fant sårbarheter i farlig utpressingsvirus – dekrypterte filene

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.