Online zsarolóprogram dekódolót adott ki a CyberArk

A CyberArk létrehozta “White Phoenix” nevű nyílt forráskódú zsarolóvírus online dekódolót, amely az intermittáló titkosítást alkalmazó ransomware-ek ellen segíthet.

Az intermittáló titkosítás egy olyan módszer, amelyet számos zsarolóprogram használ, hogy felgyorsítsa az eszközök titkosítását azzal, hogy csak részben titkosítja a fájlokat. Ilyen például a Blackcat/ALPHV, Play, Qilin/Agenda, BianLian és a DarkBit.

Az eszköz Python projektként már eddig is szabadon elérhető volt a GitHub, de a technikában kevésbé jártas emberek számára elkészítettek egy online verziót. Használatához csak fel kell tölteni a fájlokat, megnyomni a “recovery” gombot és helyreállítja amit tud.

Jelenleg az eszköz támogatja a PDF-eket, a Word, Excel és PowerPoint fájlokat valamint a ZIP tömörített állományokat. Az online verzió fájlmérete 10 MB-ban van korlátozva, így a nagyobb fájlok vagy virtuális gépek (VM) visszafejtéséhez a GitHub verzió az egyetlen járható út.

Az intermittáló titkosításnak van egy gyenge pontja. Jelentős mennyiségű titkosítatlan adatot hagy a fájlban. Ha ezek a titkosítatlan adatdarabok hasznos információkat tartalmaznak, főképp a fájl elején és végén, akkor megnő az esélye a fájl sikeres újraépítésének és helyreállításának a váltságdíj kifizetése nélkül.

Intézetünk azt javasolja, hogy ne fizessünk váltságdíjat! Nincs rá garancia, hogy kapunk kódot a visszaállításra, és hogy az működőképes is lesz. Sok esetben szándékosan ─ vagy programozói hibából kifolyólag ─ eleve lehetetlenné teszik a visszafejtést.

A White Phoenix a dokumentumok szövegét a titkosítatlan részek összekapcsolásával, valamint a hex-kódolás és a CMAP (karakterleképezés) titkosítás megfordításával próbálja helyreállítani. A dekódoló helyes működéséhez a fájlok típusától függően bizonyos karakterláncoknak olvashatónak kell lenniük a fájlokban. Például a ZIP fájloknak tartalmazniuk kell a “PK\x03\x04” karakterláncot, a PDF fájloknak pedig a “0 obj” és “endobj” karakterláncot. A képfájlokat tartalmazó PDF-ek esetében a CyberArk javasolja a “separate files” opció használatát.

Még ha a White Phoenix nem is tud segíteni a teljes rendszerek helyreállításában, néhány adat kinyerésében segíthet. Az említett zsarolóvíruscsaládokhoz jelenleg nem léteznek működő dekódolók, így a White Phoenix nyújthatja jelenleg az egyetlen megoldást. Érzékeny adatok és fájlok esetén biztonságosabb megoldás lehet a White Phoenixet lokálisan használni, semmint feltölteni a CyberArk szervereire.

Zsarolóvírusokkal kapcsolatban további hasznos információt adhat az itt található tájékoztató.

(bleepingcomputer.com)