Większość dużych „firm” przestępczych przeprowadzających ataki za pośrednictwem ransomware stara się, żeby ich „produkt” był postrzegany poważnie. Przykładem może być grupa Cerber znana z doskonałej obsługi „klienta”.
Najgroźniejsi napastnicy pieczołowicie opracowują procedury szyfrowania w taki sposób, aby osoby zwalczające malware miały jak największe trudności ze stworzeniem narzędzia deszyfrującego zainfekowane pliki. Są też grupy próbujące skorzystać z rozwiązań cieszących się renomą w środowisku hakerów i kopiujące np. Power Worm, TeslaCrypt 2, Crypto Wall.
W ostatnim kwartale bieżącego roku pojawił się nowy trend. Rośnie ilość nowych wariantów malwaru, z których większość cechuje się niską jakością. To oznacza, że zawierają pewne luki i można je rozszyfrować bez posługiwania się kluczem dostarczanym przez cyberprzestępców lub zwyczajnie niszczą pliki bezpowrotnie. Ta druga opcja jest oczywiście o wiele gorsza dla zaatakowanego.
Przede wszystkim przyczyniają się do tego nowe warianty malwaru z grupy Cryptear. Członkowie tej rodziny szkodliwego oprogramowania bazują na narzędziach open source ransomware Hidden-Tear lub jego następcy EDA2. Kody źródłowe udostępnił na portalu GitHub Utku Sen, badacz bezpieczeństwa. Następnie zostały one porzucone. Proces szyfrowania zawiera błędy, co sprawia, że pliki można deszyfrować bez klucza. Obecnie istnieje 28 potwierdzonych wariantów Crypteara i liczne niedokumentowane odmiany, które nie były na tyle istotne, aby zwrócić na siebie uwagę mediów. Jeden z nowych wariantów Crypteara dołącza rozszerzenie locklock do zaszyfrowanych plików i zaadoptował wady z oryginalnego kodu źródłowego.
[SHA256:e3d1ea550ecc6c135e729ae2c05ac59ff95991ccbaa3ff90c55b9b7ad258276a]Inny ransomware typu open source my-Little-Ransomware jest kolejnym przykładem malwaru niskiej jakości. Ale występuje również bardzo duża ilość ransomwaru, który nie ma nic wspólnego z open source. Najnowsze odmiany to Stampado, wariant Xorist nazywany XRat, wariant wirusa Detox określany jako Crypt0, a także NoobCrypt.
Wszystkie znane odmiany NoobCrypt posługują się ustalonym „hardkodowanym” kluczem szyfrowania.
Członkowie rodziny Xorist RansomWare, tacy jak XRat wykorzystują XOR z ustalonym kluczem wielkości (w przeciwieństwie do szyfru z kluczem jednorazowym). Ten rodzaj szyfrowania jest podatny na analizę częstotliwości i łamanie zabezpieczeń za pomocą ataku z wybranym tekstem jawnym.
Klucze Estampados można już od pierwszej dostępnej wersji, deszyfrować posługując się atakami brute force. Również najnowsze wersje nie stanowią pod tym względem żadnego wyjątku i istnieje możliwość ich rozszyfrowania w ten sam sposób.
Wydaje się, że ransomware staje się coraz bardziej lukratywnym biznesem, bowiem bez większego wysiłku można stworzyć własny malware lub po prostu skopiować rozwiązania znanych grup cyberprzestępczych. Zresztą ci ostatni robią wszystko, aby panowało powszechne przekonanie, że odzyskiwanie zaszyfrowanych plików jest niemożliwe, a jedynym wyjściem jest zapłacenie okupu. Dlatego większość ofiar tego typu ataków nie szuka innych rozwiązań.
Projekty open source typu Hidden Tear / EDA2 otworzyły furtkę słabiej wykwalifikowanym hakerom, którzy tworzą wadliwy ransomware. Ale taka sytuacja ma swoje zalety, osoby poszkodowane zaczynają sobie zdawać sprawę z niedociągnięć w malwarze i zaczynają we własnym zakresie szukać sposobów odzyskiwania danych.
