Операторы BlackByte поместили ключ шифрования в открытый доступ

Операторы BlackByte поместили ключ шифрования в открытый доступ

Операторы BlackByte поместили ключ шифрования в открытый доступ

Проведенный в Trustwave анализ показал, что шифровальщик BlackByte обходит стороной страны бывшего СНГ и способен самостоятельно распространяться по сети. Его авторы — скорее всего, любители, так как применяемая ими обфускация тривиальна, а единственный ключ шифрования / расшифровки до недавних пор хранился на общедоступном сервере в виде скрытого файла .PNG.

По имеющимся данным, названный вредонос объявился в интернете в минувшем июле. Исследователи из Trustwave наткнулись на него, разбирая недавнюю атаку на одного из своих клиентов.

Поскольку анализ не выявил признаков родства BlackByte с известными семействами шифровальщиков, эксперты пришли к выводу, что зловред написан с нуля, притом не очень умело. Как оказалось, BlackByte шифрует все файлы одним и тем же ключом AES, загружая его с публичного HTTP-сервера; это позволило специалистам создать декриптор, который уже выложен на GitHub.

Атака BlackByte начинается с установки на машину обфусцированного модуля запуска — Obamka.js. Чтобы затруднить реверс-инжиниринг кода, вирусописатели, по словам Trustwave, используют легко преодолеваемые техники — заполнение файла мусором, смену имен переменных, скремблирование. В настоящее время этот JavaScript-лончер детектируют 26 из 58 антивирусов на VirusTotal.

Единственная задача Obamka.js — расшифровка и запуск в памяти основного модуля зловреда (написанной на .NET DLL).

 

Перед шифрованием вредонос пытается обезвредить Microsoft Defender, обойти AMSI и проверяет наличие других защитных решений (Sandboxie, песочницы Qihoo360, антивирусов Avast и Comodo). Он также умеет отключать и деинсталлировать Raccine — утилиту с открытым исходным кодом, пресекающую попытки шифровальщиков удалить теневые копии Windows.

Примечательно, что вшитый в код BlackByte публичный ключ RSA используется только раз — для зашифровки ключа AES, чтобы вставить итоговый код в записку с требованием выкупа. Этот код жертве предлагается указать в письме при установке контакта с вымогателями.

В сети Tor злоумышленники создали сайт-аукцион для публикации данных, украденных у жертв, но функций, обеспечивающих вывод данных с зараженных машин, у шифровальщика обнаружено не было. Исследователи полагают, что операторы вредоноса пытаются таким образом запугать своих жертв и заставить их платить выкуп.

Самораспространение BlackByte по сети происходит примерно так же, как у Ryuk. Вначале он выжидает 10 секунд, а затем начинает перебирать имена хостов (до 1000) из Active Directory, чтобы удаленно включить компьютеры с помощью магических пакетов (Wake-on-LAN, WoL).

Удостоверившись, что устройство успешно «разбужено», шифровальщик пытается внедрить свою копию и в случае успеха создает запланированное задание на запуск. Этот способ самораспространения, по словам экспертов, достаточно примитивен, но вполне оправдывает себя: в той же сети было найдено еще несколько зараженных машин.

Расследование Trustwave, по всей видимости, вспугнуло стоящую за BlackByte группировку: они убрали ключ шифрования из доступа и ушли в тень.

Авито запустит ИИ-сервис для поиска пропавших питомцев по фото

«Авито» решила подключить искусственный интеллект к задаче, где каждая минута на счету: поиску потерявшихся домашних животных. 6 июля на платформе заработает бесплатный сервис «ХвостРадар», который будет искать совпадения между фотографиями пропавших питомцев и объявлениями о найденных животных.

Принцип такой: владелец загружает фото питомца через функцию «Поиск по фото», а система анализирует изображение и сопоставляет его с объявлениями на платформе.

Алгоритм учитывает окрас, породу, форму морды, размер и другие визуальные признаки, а также геолокацию и дату публикации.

Если находится похожее объявление, пользователь может связаться с его автором через внутренний чат «Авито» или позвонить прямо в приложении. При желании можно подписаться на новые совпадения, чтобы не проверять объявления вручную каждые полчаса в режиме паники.

 

Технология создана участниками летней школы Института искусственного интеллекта AIRI и командой научно-исследовательского центра «Авито». В разработке также участвовали волонтёры, которые помогают владельцам искать пропавших животных.

В «Авито» отмечают, что уже на этапе тестирования модель показала высокую точность. Сейчас на платформе размещено более 3300 объявлений о потерянных и найденных животных, а за последний месяц владельцам удалось вернуть домой более 400 питомцев.

До конца 2026 года компания планирует расширить возможности «ХвостРадара». Среди будущих функций — поиск хозяина по фотографии найденного животного и автоматический поиск владельца для тех, кто подобрал питомца на улице.

Также «Авито» тестирует применение похожей технологии в других категориях объявлений и рассматривает возможность интеграции со сторонними сервисами.

По сути, «ХвостРадар» превращает обычную доску объявлений в умный поисковик по мордам, хвостам и лапам. И если это поможет хотя бы части животных быстрее вернуться домой, ИИ наконец-то получит вполне заслуженный плюс в карму.

RSS: Новости на портале Anti-Malware.ru