Приложение-вымогатель Jigsaw также взломали

Продолжает пополняться перечень шифрующих пользовательские файлы программ-вымогателей, для которых доступен бесплатный восстанавливающий файлы дешифратор. На этот раз компания Check Point смогла создать дешифратор для новых и старых версий вымогателя Jigsaw.

Приложение Jigsaw появилось в апреле и известно тем, что не получив выкуп, удаляет файлы. Перезагрузка компьютера также ведёт к удалению файлов. После появления Jigsaw исследователи быстро создали дешифратор, но после обновлений приложения он перестал работать, а обновления эти выходят регулярно, почти каждую неделю.

Check Point нашла уязвимость не в процессе шифрования, а в методах получения оплаты. Другие вымогатели используют для получения платежей сеть Tor, Jigsaw же печатает номер кошелька биткоин и говорит после совершения платежа нажать на кнопку «I made a payment, now give me back my files!». Это отправляет запрос с компьютера на сетевой интерфейс, где платёж проверяется.

В Check Point создали инструмент, который перехватывает и подделывает ответ интерфейса на этот запрос. Программа Jigsaw получает его и считает, что платёж был выполнен, начиная процесс расшифровки файлов и самоликвидации с компьютера.