Κυκλοφορεί ένα στέλεχος ransomware που βασίζεται στο ανοικτού κώδικα ransomware Hidden Tear (Κρυφό Δάκρυ) και που μολύνει τους χρήστες, κρυπτογραφεί τα αρχεία τους χωρίς να κρατάει το κλειδί κρυπτογράφησης, καθιστώντας όλα τα αρχεία ανεπανόρθωτα άχρηστα.
Τον περασμένο Αύγουστο, η τουρκική ομάδα ασφαλείας Otku Sen έδωσε στο GitHub ένα ανοιχτού κώδικα ransomware που είχε δημιουργήσει για εκπαιδευτικούς σκοπούς.
Το συγκεκριμένο ransomware ονομάστηκε Hidden Tear και σύμφωνα με το κατασκευαστή του σε ένα άρθρο αναφέρει ότι ήταν ένα honeypot που προσπαθούσε να ξεγελάσει τους άλλους ransomware κατασκευαστές και μέλη της ομάδος του να κάνουν χρήση του κώδικά του, αντί να δημιουργήσουν ένα δικό τους.
Το κόλπο ήταν ότι το Hidden Tear περιείχε ένα crypto κώδικα που επέτρεπε στον ερευνητή να αποκρυπτογραφήσει τα αρχεία αργότερα αν κάποιος χρησιμοποιούσε ποτέ τον κωδικό του.
Σύμφωνα με την ομάδα ασφαλείας της Trend Micro, κάποιος δημιούργησε ένα ransomware βασιζόμενο στο Hidden Tear και που η εταιρεία το ονόμασε RANSOM_CRYPTEAR.B.
Μεταξύ 15 Σεπτεμβρίου και 17 Δεκεμβρίου, μία ομάδα επιτέθηκε και παραβίασε ένα δικτυακό τόπο από την Παραγουάη και τον χρησιμοποίησε για να ανακατευθύνει τους χρήστες του σε μία ψεύτικη ιστοσελίδα σχεδιασμένη με Adobe Flash, που έστελνε στους χρήστες όμως μία παγιδευμένη με το ransomware ενημερωμένη έκδοση του Flash Player.
Οι χρήστες που κατέβαζαν αυτήν την ενημερωμένη έκδοση (για να μπορέσουν να δουν σωστά την ψεύτικη ιστοσελίδα), έβλεπαν το αρχείο να προχωρούσε σε εκτέλεση αμέσως μετά την ολοκλήρωση της λήψης και σε λίγα λεπτά είχαν μολυνθεί με ένα κρυπτο-ransomware τα αρχεία με τα δεδομένα τους.
Το κακό μέρος ήταν ότι οι συντάκτες του ransomware με κάποιο τρόπο κατάφεραν να μπουρδουκλώσουν το κώδικα του Hidden Tear, και διέγραφαν το κλειδί κρυπτογράφησης χωρίς να το στέλνουν πρώτα στους C&C servers τους.
Βέβαια τα αρχεία του ταλαίπωρου χρήστη ουδεμία σημασία είχαν για τους συντάκτες του ransomware, οι οποίοι ενδιαφέρονταν περισσότερο για τη λήψη λύτρων σε Bitcoin (ζητούσαν περίπου $500 δολάρια Αμερικής) από το να παρέχουν έναν ασφαλή τρόπο για να αποκρυπτογραφήσει ο χρήστης τα κρυπτογραφημένα αρχεία του μετά την πληρωμή των λύτρων.
Παρότι η ομάδα Otku Sen είχε βάλει στο Hidden Tear μια μυστική κερκόπορτα στον αλγόριθμο που έκανε encyrption, ήταν εντελώς άχρηστη αν το κλειδί κρυπτογράφησης διαγραφόταν.
Όσον αφορά τα άσχημα κρυπτογραφημένα ransomware, αυτή δεν είναι η πρώτη περίπτωση που συμβαίνει. Τον περασμένο Νοέμβριο, μια έκδοση του ransomware Power Worm είχε επίσης κατορθώσει να χάσει το κλειδί κρυπτογράφησης και να κλειδώσει μόνιμα τα αρχεία του χρήστη.
