Вирьё моё! Хроники невидимых хакерских войн от Сыктывкара до Сингапура

Поэтому на практике используются генераторы псевдослучайных чисел. Это некая математическая функция, которая выдаёт последовательность более-менее разнообразных цифр. Здесь слабое звено — самое первое число (seed), от которого начинается вычисление функции. Если узнать или угадать его, то можно воспроизвести псевдослучайную последовательность и восстановить ключ шифрования.

Как выяснилось, автор Gpcode использовал в качестве «сида» значение процессорного регистра TSC (Timestamp Counter) — он содержит количество тактов процессора с момента включения компьютера. А это относительно небольшое число для перебора!

Почему автор совершил такую банальную ошибку? Скорее всего, он использовал виртуальную машину. Этот софт позволяет имитировать виртуальный компьютер внутри физического — получается эдакая «Матрица». В ранних версиях виртуальных машин значение регистра TSC рандомизировалось специально и не было связано с настоящим процессором и его тактовым счётчиком. Разрабатывая и тестируя Gpcode на виртуальной машине, автор зловреда оказался обманут «Матрицей». Он верил, что у него есть по-настоящему аппаратный генератор случайных чисел.

Но универсального способа расшифровки всё равно нет. И борьба с новыми версиями шифровальщика становится всё сложнее. Остаётся последний и самый эффективный вариант — найти самого автора.

Вообще, злоумышленники часто выдают себя сами, на этот счёт есть много народных мудростей типа «жадность фраера сгубила». В 2008 году автор шифровальщика Gpcode сам написал письмо в антивирусную компанию, где работает Саша, и предложил им выкупить программу для дешифровки. Возможно, вирусописателю просто надоело заниматься мелким вымогательством, так что он захотел получить одну большую награду сразу. Для доказательства своего авторства он даже прислал аналитикам утилиту, которая позволяла расшифровать один зашифрованный компьютер.

Платить ему, конечно, не стали. Но письмо дало несколько зацепок. Правда, компания Yahoo отказалась деанонимизировать почтовый ящик, с которого писал злоумышленник. Да и IP-адрес в заголовке письма позволил лишь выяснить, что автор шифровальщика ведёт переписку через зомби-компьютер, который входит в ботнет для рассылки спама с трояном-шифровальщиком. Заражённые машины находились в США. Все эти данные передали в правоохранительные органы.

# # #

В истории Gpcode существовала ещё одна ниточка, основанная на известном принципе «следуй за деньгами». Своим зарубежным жертвам злоумышленник предлагал переводить выкуп на кошелёк в платёжной системе Liberty Reserve. Эта финансовая компания, зарегистрированная в Коста-Рике гражданином украинского происхождения, часто использовалась для отмывки денег. По этой причине в 2013 году её разгромили американские правоохранители, а её основателя приговорили к 20 годам тюрьмы.