Η Avast κυκλοφόρησε ένα εργαλείο αποκρυπτογράφησης για το HermeticRansom ransomware που χρησιμοποιείται σε στοχευμένες επιθέσεις εναντίον ουκρανικών συστημάτων τις τελευταίες δέκα ημέρες.
Το εργαλείο προσφέρεται δωρεάν από το site της Avast και μπορεί να βοηθήσει τους Ουκρανούς χρήστες να επαναφέρουν τα δεδομένα τους γρήγορα και αξιόπιστα.
Δείτε επίσης: Αυξημένες οι επιθέσεις στα ουκρανικά sites μετά την εισβολή Ρωσίας στην Ουκρανία
Τα πρώτα σημάδια της διανομής του HermeticRansom ransomware παρατηρήθηκαν από τους ερευνητές της ESET στις 23 Φεβρουαρίου, λίγο πριν την εισβολή των ρωσικών στρατευμάτων στην Ουκρανία.
Το ransomware παραδόθηκε μαζί με ένα computer worm με το όνομα HermeticWizard και χρησίμευσε περισσότερο ως δόλωμα σε wiper επιθέσεις παρά ως μέσο για οικονομικό εκβιασμό. Ωστόσο, έχει επηρεάσει σημαντικά συστήματα της Ουκρανίας.
Η Crowdstrike εντόπισε γρήγορα μια αδυναμία στο κρυπτογραφικό σχήμα του ransomware (που είναι γραμμένο σε GO) και πρόσφερε ένα script για την αποκρυπτογράφηση των αρχείων που κρυπτογραφήθηκαν από το HermeticRansom (γνωστός και ως PartyTicket).
“Το ransomware περιέχει σφάλματα εφαρμογής, δίνοντας τη δυνατότητα για “σπάσιμο” της κρυπτογράφησης. Αυτό το σφάλμα υποδηλώνει ότι ο δημιουργός του κακόβουλου λογισμικού είτε δεν είχε πείρα στη Go είτε δεν δοκίμασε αρκετά το κακόβουλο λογισμικό, πιθανώς επειδή ο διαθέσιμος χρόνος ανάπτυξης ήταν περιορισμένος“, εξηγεί η Crowdstrike σε νέα ανάρτηση που κυκλοφόρησε την Τρίτη.
Δείτε επίσης: Microsoft: Η Ουκρανία δέχτηκε επιθέσεις από το FoxBlade malware πριν την εισβολή
Καθώς φαίνεται, το HermeticRansom ransomware που στόχευσε τα ουκρανικά δίκτυα, δεν δημιουργήθηκε ως ένα σύγχρονο στέλεχος ransomware με στόχο το διπλό εκβιασμό και την πρόκληση οικονομικής ζημιάς ή ζημιάς στη φήμη του θύματος. Ωστόσο, αυτό δεν σημαίνει ότι οι μολύνσεις από το HermeticRansom δεν επηρεάζουν τα στοχευμένα μηχανήματα.
Αντίθετα, αυτό το ransomware μπορεί να κρυπτογραφήσει πολύτιμα αρχεία εκτός των Program Files και Windows folders, χρησιμοποιώντας ένα RSA-2048 key.
Το σημείωμα λύτρων που είδαν τα θύματα έχει τυπική μορφή και περιεχόμενο, που τους ζητά να επικοινωνήσουν με μια διεύθυνση ProtonMail για να αποκτήσουν ένα εργαλείο αποκρυπτογράφησης.
HermeticRansom ransomware: Η Avast κυκλοφορεί νέο εργαλείο αποκρυπτογράφησης
Αν και το script της Crowdstrike είναι αξιόπιστο, δεν μπορούν να το χρησιμοποιήσουν εύκολα όλοι. Γι’ αυτό, η Avast κυκλοφόρησε έναν εργαλείο αποκρυπτογράφησης GUI που διευκολύνει την αποκρυπτογράφηση αρχείων που έχουν επηρεαστεί από το HermeticRansom ransomware.
Δείτε επίσης: Οι Anonymous μετονόμασαν το yacht του Putin σε «FCKPTN»
Επίσης, το εργαλείο προσφέρει την επιλογή δημιουργίας αντιγράφων ασφαλείας των κρυπτογραφημένων αρχείων, ώστε να μη χαθούν τα αρχεία, εάν κάτι πάει στραβά με τη διαδικασία κρυπτογράφησης.
Για περισσότερες λεπτομέρειες για το εργαλείο της Avast και τον τρόπο χρήσης του, πατήστε εδώ.
Πηγή: Bleeping Computer