Вредоносное ПО – это тоже софт с собственными уязвимостями. Один исследователь безопасности начал пользоваться этим, публикуя эксплойты на основе уязвимостей программ-вымогателей.
Исследователь безопасности Джон Пейдж (также известный как hyp3rlinx) специализируется на поиске ошибок во вредоносных программах и публикации их на своем сайте и в Твиттере. Недавно он опубликовал способ использования этих уязвимостей, чтобы помешать программам-вымогателям шифровать файлы.
Как оказалось, многие виды программ-вымогателей уязвимы для перехвата DLL. Обычно злоумышленники используют перехват DLL, чтобы заставить программу загрузить не предназначенный для нее файл DLL, что заставляет их запускать нежелательный код. Однако в настоящее время защитники могут использовать эту технику для захвата и частичной блокировки программ-вымогателей.
Сайт Пейджа содержит уязвимости и пользовательские библиотеки DLL для последних версий программ-вымогателей, включая REvil, Wannacry, Conti и другие. Для правильной работы библиотеки DLL должны находиться в каталогах, где злоумышленники могут разместить свои вредоносные программы. Пейдж предлагает многоуровневый подход, например размещение их в сетевой папке, содержащей важные данные. Поскольку библиотеки DLL не запускаются до тех пор, пока программа-вымогатель не получит к ним доступ, они обходят тенденцию программ-вымогателей подрывать антивирусную защиту.
Перехват DLL работает только в Windows, поэтому, к сожалению, метод Пейджа не защитит пользователей Mac, Linux или Android. Это также не мешает бандам вымогателей получить доступ к системам и устроить утечку данных. Он только останавливает шифрование, а это означает, что злоумышленники не могут выкупить данные своих жертв (если только не угрожает их утечка).
Теперь, когда эти уязвимости общедоступны, разработчики программ-вымогателей обязательно исправят их. Но всегда есть надежда, что исследователи будут находить новые.