Студент расшифровал вредоносное ПО для вымогательства Simplocker

Недавно портал SecurityLab  сообщал  о первом вредоносном ПО для Android под названием Simplocker, предназначенном для вымогательства денег и использующем в качестве C&C-сервера сеть TOR. Тогда студент Университета Суссекса Саймон Бэлл (Simon Bell) пообещал выпустить Java приложение для расшифровки файлов, зашифрованных Simplocker.

В понедельник, 16 июня в блоге Secure Honey он подробно  рассказал  о том, как провести реверс-инжиниринг данного вредоносного ПО и разработать приложение для получения ключей шифрования, хранящихся внутри. Бэлла интересовало, возможно ли расшифровать файлы, зашифрованные Simplocker, без соединения с C&C-сервером.

Исследователь провел статический и динамический анализ кода и нашел метод расшифровки, сходный с методом шифрования. По словам Бэлла, с помощью этого метода осуществляется расшифровка входного файла. На изображении выделены строки чисел кода при шифровании для того, чтобы продемонстрировать, как происходит расшифровка.

В настоящее время по всему миру широко распространено такое вредоносное ПО для вымогательства, как CryptoLocker, CryptoWall и PrisonLocker. Однако оно инфицирует только стационарные компьютеры. В отличие от них Simplocker является первым подобным ПО, разработанным специально для смартфонов.

В следующей публикации в блоге Secure Honey Бэлл пообещал предоставить приложение, которое позволит пользователям очистить свое устройство от вымогательского ПО без уплаты выкупа.