Криптографы нашли уязвимость в ransomware SnowSoul: создан бесплатный дешифратор

Для оценки реального ущерба и определения возможных направлений реагирования исследователи провели полный анализ поведения образца, реверс-инжиниринг процесса шифрования и изучение механизма управления ключами. В ходе углубленного анализа специалисты не только восстановили цепочку атаки SnowSoul и детали реализации шифрования, но и выявили ключевой недостаток в его криптографической схеме. На основе этой уязвимости был разработан эффективный дешифратор, успешно протестированный на нескольких образцах и в реальных зараженных средах. Инструмент стабильно восстанавливает зашифрованные файлы.

Технический анализ выявил стандартный для современных вымогателей механизм действия. Перед началом шифрования SnowSoul выполняет серию подготовительных операций. Во-первых, программа исключает из обработки определенные каталоги и файлы, большинство из которых являются системными. Примечательно, что некоторые названия содержат орфографические ошибки, что может указывать на человеческий фактор при их составлении.

Затем вредоносное ПО модифицирует системный реестр для отключения диспетчера задач Windows. Следом, с помощью команды bcdedit, оно блокирует возможность загрузки в режиме восстановления системы. Как и многие аналогичные программы, SnowSoul принудительно удаляет теневые копии томов (Volume Shadow Copy), используемые для резервного копирования. Дополнительно происходит принудительное удаление баз данных из каталогов резервных копий устройства, что равносильно их полному сбросу.

Для обеспечения persistence (устойчивости) в системе троянец копирует свой исполняемый файл в каталог %AppData% пользователя и запускает его оттуда. Если файл с таким именем уже существует, он перезаписывается. После успешного копирования первоначальный процесс завершает работу. SnowSoul также пытается остановить определенные системные службы и процессы, которые могут блокировать доступ к файлам во время шифрования.

Атака затрагивает файлы с 532 различными расширениями, охватывая практически все распространенные типы документов и данных. После завершения шифрования к имени файла добавляется случайное расширение длиной в 5 символов, генерируемое из цифр и строчных букв латинского алфавита.

Непосредственно для шифрования содержимого файлов используется алгоритм AES в режиме CBC. Сгенерированный для каждого сеанса AES-ключ затем шифруется на алгоритме RSA-2048. Соответствующий открытый RSA-ключ жестко встроен в код программы. После шифрования данные записываются поверх исходного файла, а оригинал удаляется. Эта операция предназначена для предотвращения восстановления первоначальных данных с помощью специализированного ПО.

Аналитики установили, что первые 8 байт зашифрованного файла содержат значение вектора инициализации (IV) для AES. В свою очередь, последние 344 байта файла представляют собой данные AES-ключа, зашифрованного RSA и дополнительно закодированного в Base64. Завершив шифрование, SnowSoul оставляет в системе жертвы сообщение с требованиями выкупа.

Несмотря на применение зрелой гибридной схемы AES + RSA-2048, теоретически обеспечивающей высокую безопасность, исследователи обнаружили в ее реализации критический криптографический изъян. Именно эта уязвимость позволила разработать инструмент, способный полностью восстанавливать файлы. Дешифратор был успешно протестирован на множестве образцов и в реальных инцидентах, подтвердив свою надежность.

В настоящее время подавляющее большинство программ-вымогателей используют гибридные механизмы шифрования с RSA в основе. Без получения у злоумышленников соответствующего закрытого ключа дешифровка файлов практически невозможна. Успешное восстановление данных в случае с SnowSoul стало возможным исключительно из-за ошибки в реализации его алгоритма. Этот случай носит частный и целевой характер и не указывает на появление универсального метода взлома подобного типа программ вымогателей. Следовательно, всем пользователям, особенно ответственным за хранение критически важной информации, необходимо продолжать строго соблюдать практики создания автономных и неизменяемых резервных копий, а также базовой защиты. Ни в коем случае не следует ослаблять бдительность и уменьшать инвестиции в профилактику атак программ вымогателей из-за отдельных успешных случаев дешифровки.

SHA256

• 71db44ccaa100fc6cef923f069753f6258c807421b94a53e6ac6f01834f93b52

Discord Group

• theroyalteam963

RSA PUB KEY

• 1ipgguR6wKrENbAIHz9PssjI1/jlD9xZXFpot4p4X3GhX3P05sn7aZrfVEkN0GuJIFOly+u3dQEvQGGzw0/cXjuRAeeJXdsOUQOnJ64ljXF5/ZXGkfGmIhPeKlWYQC4N764s/Un6XweL+534gaMkkqo86Z7Sn1SUct+tAJCv/qbKBPgoxQGZcpQmIKtqlb4D8Q6NM4Y4QCwffprgjqLqWOmKgUOGHBQMnGnws2ZA6KMri8r17sj807fjyu56dyxoa4ql9zbmxHARKSNU/7FTZ9cGvPG1xiIkrbqQwgNehvKtSLMnsgbni+RdZ+ufhKeNthztNLm/VDD2GFogBnzmDQ==