Τώρα τα θύματα του MarsJoke ransomware μπορούν να ανακτήσουν τα αρχεία τους, χρησιμοποιώντας ένα Decrypter που δημιουργήθηκε από τους ειδικούς ασφαλείας της Kaspersky Lab και είναι διαθέσιμος για δωρεάν λήψη.
Το MarsJoke ransomware, επίσης γνωστό και ως JokeFromMars ή Polyglot, είναι μία παραλλαγή ransomware που εμφανίστηκε για πρώτη φορά πριν από δύο εβδομάδες, εξαπλώθηκε από κακόβουλα spam μηνύματα δίνοντας έμφαση στην κυβέρνηση και τον Κ-12 εκπαιδευτικό τομέα.
Το ransomware υπήρξε αρκετά δραστήριο και έπεσε στην αντίληψη πολλών ανεξάρτητων ερευνητών ασφάλειας, αλλά και στην αντίληψη των υπαλλήλων μεγάλων πωλητών ασφάλειας, όπως των Proofpoint και Kaspersky.
Η τελευταία ανακοίνωσε σήμερα ότι κατάφεραν να εντοπίσουν μια αδυναμία στη ρουτίνα κρυπτογράφησης του ransomware που τη χρησιμοποίησαν για τη δημιουργία ενός δωρεάν Decrypter, το οποίο παρέχεται για δωρεάν λήψη από το site τους (το RannohDecryptor εργαλείο).
Οι ειδικοί της Kaspersky Lab προειδοποιούν ότι αυτό το Decrypter λειτουργεί μόνο για τις τρέχουσες εκδόσεις του ransomware και ότι οι μελλοντικές επαναλήψεις μπορεί να μην εμφανίζουν το ίδιο ζήτημα που να επιτρέπει στον Decrypter να ανακτήσει τα κλειδιά κρυπτογράφησης.
Οι ερευνητές αναφέρουν προηγούμενα περιστατικά που αφορούν το CryptXXX ransomware, κατά τα οποία οι ειδικοί της Kaspersky έσπασαν την κρυπτογράφηση τρεις φορές και δημιούργησαν δωρεάν decrypters, αλλά στο τέλος, οι CryptXXX συγγραφείς εντόπισαν το σφάλμα κρυπτογράφησης και το διόρθωσαν για τα καλά.
Οι malware αναλυτές που κοίταξαν πιο προσεκτικά το MarsJoke ransomware είπαν ότι το ransomware φαίνεται να είναι έργο ενός ταλαντούχου coder.
Παρά το γεγονός αυτό, οι δημιουργοί του έκαναν μια μεγάλη προσπάθεια να δημιουργήσουν ένα γραφικό σχεδόν ταυτόσημο με το CTB-Locker ransomware, που ακόμα και σήμερα, εξακολουθεί να είναι undecryptable.
“Παρά τις προφανείς ομοιότητες μεταξύ των Polyglot και CTB-Locker, είναι δύο εντελώς διαφορετικά είδη malware. Δε μοιράζονται σχεδόν καθόλου κώδικα”, εξήγησε χθες η Kaspersky. “Οι ειδικοί μας πιστεύουν ότι με το να μιμείται την CTB-Locker εμφάνιση, οι Polyglot δημιουργοί προσπαθούν μπερδέψουν τους ερευνητές.”
Σύμφωνα με την Kaspersky, ο MarsJoke συγγραφέας έκανε ένα λάθος στο module του ransomware που δημιουργεί τα κλειδιά κρυπτογράφησης. Αυτό το σφάλμα επέτρεψε στους ερευνητές να δημιουργήσουν τον Decrypter.
Προς το παρόν, τα MarsJoke ransomware θύματα μπορούν να χαλαρώσουν. Ωστόσο, εάν το ransomware ενημερώνεται σε τακτική βάση, αναμένεται ότι το Decrypter θα σταματήσει να λειτουργεί μέσα στις επόμενες εβδομάδες.
