Ένας Ισπανός φοιτητής κυκλοφόρησε αυτήν την εβδομάδα ένα δωρεάν βοηθητικό πρόγραμμα αποκρυπτογράφησης, το οποίο μπορεί να βοηθήσει τα θύματα του Avaddon ransomware να ανακτήσουν τα αρχεία τους δωρεάν. Ο Javier Yuste, φοιτητής στο Πανεπιστήμιο Rey Juan Carlos της Μαδρίτης, κοινοποίησε στο GitHub το AvaddonDecrypter, που λειτουργεί μόνο σε περιπτώσεις όπου τα θύματα δεν έχουν απενεργοποιήσει τους υπολογιστές τους.
Το εργαλείο λειτουργεί με dumping της μνήμης RAM ενός μολυσμένου συστήματος και με την αναζήτηση, στο περιεχόμενο της μνήμης, δεδομένων που θα μπορούσαν να χρησιμοποιηθούν για την ανάκτηση του αρχικού κλειδιού κρυπτογράφησης του ransomware. Εάν ανακτηθούν αρκετές πληροφορίες, το εργαλείο μπορεί στη συνέχεια να χρησιμοποιηθεί για την αποκρυπτογράφηση αρχείων, καθώς και να βοηθήσει τα θύματα να ανακάμψουν από τις επιθέσεις του Avaddon ransomware, χωρίς να χρειαστεί να πληρώσουν λύτρα στους χάκερς.
Πρέπει να διευκρινιστεί ωστόσο ότι παρόλο που η κυκλοφορία του εργαλείου πιθανότατα θα βοηθήσει τα μέχρι τώρα θύματα του Avaddon, δεν θα βοηθήσει εταιρείες που πέφτουν θύματα νέων επιθέσεων του ransomware. Αυτό οφείλεται στο γεγονός ότι η κυκλοφορία του εργαλείου δεν έχει περάσει απαρατήρητη. Σε μια δημοσίευση φόρουμ στις 10 Φεβρουαρίου, η συμμορία του Avaddon ανέφερε ότι έμαθε για τον αποκρυπτογράφο του Yuste και έχει ήδη αναπτύξει ενημερώσεις στον κώδικα του ransomware της, αναιρώντας έτσι τις δυνατότητες του εργαλείου.
Η αντίδραση της συμμορίας του Avaddon ακολουθεί εκείνη των χάκερς που ανέπτυξαν το DarkSide ransomware, οι οποίοι επίσης αντέδρασαν στην κυκλοφορία ενός παρόμοιου αποκρυπτογράφου για τη δική τους περίπτωση τον Ιανουάριο.
Επομένως, η κυκλοφορία και των δύο βοηθητικών προγραμμάτων αποκρυπτογράφησης είχε πολύ περιορισμένο αντίκτυπο. Ενώ μερικά θύματα μπόρεσαν να αποκρυπτογραφήσουν τα αρχεία τους, μόλις δημοσιοποιήθηκε η ύπαρξη των εργαλείων αποκρυπτογράφησης, οι ransomware συμμορίες ανέλυσαν τον τρόπο λειτουργίας των εργαλείων και διόρθωσαν τον κώδικα των ransomware τους μέσα σε λίγες μέρες.
Όπως αναφέρει το ZDNet, η δημοσίευση των δύο αυτών εργαλείων, σε συνδυασμό με ένα blog post που κοινοποίησε η ολλανδική εταιρεία ασφαλείας “Eye Control” που δείχνει πώς τα θύματα θα μπορούσαν να ανακάμψουν από επιθέσεις του Data Doctor ransomware, έχει αναζωπυρώσει, για άλλη μια φορά, μια πολυετή συζήτηση στη βιομηχανία κυβερνοασφάλειας σχετικά με το πώς τα βοηθητικά προγράμματα αποκρυπτογράφησης πρέπει να αντιμετωπίζονται και να κοινοποιούνται στα θύματα.
Πολλοί εξέχοντες ερευνητές ασφαλείας με μακρά ιστορία βοήθειας στα θύματα ransomware από τα μέσα της δεκαετίας του 2010 έχουν γνωστοποιήσει ξανά τις απόψεις τους τους τελευταίους δύο μήνες, επισημαίνοντας το γεγονός ότι τα βοηθητικά προγράμματα αποκρυπτογράφησης που εκμεταλλεύονται σφάλματα κρυπτογράφησης ransomware, θα πρέπει να παραμένουν ιδιωτικά και να διανέμονται στα θύματα μέσω μη δημόσιων καναλιών, αντί να διαφημίζονται στο διαδίκτυο.
