Сразу три вредоносных пакета обнаружили в репозитории PyPI. Все три имитировали распространенный пакет Requests. Вымогателей вывели на чистую воду эксперты команды Sonatype.
В requesys обнаружились скрипты, которые запускали шифрование файла после просмотра папок Documents, Downloads и Pictures. Шифрование осуществлялось модулем Fernet. Он же использовался для генерации случайного ключа шифрования.
Обязательным условием для запуска скрипта было отличие имени пользователя под управлением Windows от GIAMI. Так юный хакер по всей видимости пытался обезопасить себя от собственных разработок.
Для связи с OHR (Only Hope Remains) жертве предлагалось использовать Discord-сервер. В открытом канале «#ransomware-notifications исследователи обнаружили сразу 15 имен пользователей, которые стали жертвами вымогателей. Там же оказались автоматически сгенерированные сообщения с ключами дешифрования.
Сам создатель малварей не особенно пытался скрыть свою личность. Один ник OHR (Only Hope Remains) он использовал сразу на нескольких ресурсах.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.