Η πρώτη ransomware παραλλαγή που ανιχνεύθηκε να είναι γραμμένη στη γλώσσα προγραμματισμού Go της Google δεν είναι ακριβώς η επιτυχία που οι συντάκτες της ήλπιζαν, με τους ερευνητές να έσπασαν την κρυπτογράφησή της και να κυκλοφόρησαν ένα δωρεάν decrypter.
Εντοπίστηκε κάτω από τη generic ονομασία Trojan.Encoder.6491 και αυτή η ransοmware παραλλαγή εμφανίστηκε μόλις πριν από τέσσερις ημέρες.
Σύμφωνα με την Dr.Web, μια εταιρεία κατασκευής antivirus που έχει την έδρα της στη Ρωσία, το ransomware αυτή τη στιγμή εξαπλώνεται μέσω ενός αρχείου με το όνομα Windows_Security.exe, πιθανότατα μεταμφιεσμένο ως μια ενημέρωση ασφαλείας των Windows, προλαβαίνοντας το Patch Tuesday αυτού του μήνα.
Το Trojan.Encoder.6491 χρησιμοποιεί ένα σύστημα κρυπτογράφησης που βασίζεται στον AES αλγόριθμο και στοχεύει να κρυπτογραφήσει 140 τύπους αρχείων, αποφεύγοντας παράλληλα τα core Windows directories, ώστε να μην καταστρέψει τον υπολογιστή του στόχου.
Μπορείτε να εντοπίσετε το Trojan.Encoder.6491 με τον τρόπο που μετονομάζει τα αρχεία αφού τα κρυπτογραφήσει. Το ransomware παίρνει ένα αρχείο με το όνομα photo.png και κωδικοποιεί το όνομά του, χρησιμοποιώντας τον Base64 αλγόριθμο, προσαρτώντας την ENC επέκταση στο τέλος του αρχείου ως εξής: cGhvdG8=.enc.
Τα καλά νέα είναι ότι οι Dr.Web ερευνητές εντόπισαν αδυναμίες κρυπτογράφησης στη λειτουργία του ransomware και δημιούργησαν ένα decrypter που μπορεί να ανακτήσει τα κλειδωμένα αρχεία χωρίς την πληρωμή των λύτρων. Τα κακά νέα είναι ότι αυτό το decrypter θα είναι διαθέσιμο μόνο για τους πελάτες της Dr.Web που πληρώνουν τη συνδρομή τους.
Η ειρωνεία του πράγματος, ωστόσο, είναι ότι τόσο η αμοιβή του ransomware όσο και η άδεια της Dr.Web κυμαίνονται στο ίδιο ποσό, περίπου στα $30!
