Пострадавшие от вымогателя Planetary могут бесплатно вернуть файлы

Пострадавшие от вымогателя Planetary могут бесплатно вернуть файлы

Пострадавшие от вымогателя Planetary могут бесплатно вернуть файлы

Специалисты Emsisoft выпустили дешифратор, который поможет жертвам семейства шифровальщиков Planetary бесплатно вернуть свои файлы. Это семейство программ-вымогателей отметилось использованием названий планет в качестве расширения, которое добавляется к зашифрованным файлам.

Жертвы вымогателя Planetary отмечали, что к именам пострадавших файлов вредоносная программа добавляет следующие расширения: .mira, .yum, .Pluto или .Neptune. Если изначальное имя файла было test.jpg, после шифрования оно превращается в test.jpg.Neptune или test.jpg.mira.

Последний вариант шифровальщика используется исключительно расширение .mira — в честь вымышленной планеты из игры Xenoblade.

Чтобы расшифровать свои файлы с помощью выпущенного дешифратора, пользователи должны убедиться в том, что у них сохранился файл, в котором изложены требования злоумышленников.

Этот файл имеет имя !!!READ_IT!!!.txt, а располагается в каждой папке, где есть зашифрованные файлы. Также его можно найти на рабочем столе.

Для расшифровки файлов скачайте программу decrypt_Planetary.exe и сохраните ее на рабочем столе. После этого запустите файл с правами администратора. Далее появится окно программы, в котором вам будет предложено выбрать файл с требованиями преступников:

Выберите этот файл и нажмите кнопку «Start» — программа выдаст вам ключ расшифровки. Теперь можно нажать «OK», чтобы загрузить ключ в дешифратор.

Затем в следующем окне выберите съемные и встроенные диски, файлы на которых вы хотите расшифровать. Нажмите кнопку «Decrypt» — процесс расшифровки запустится.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Учёные обошли защиту DDR5: атака Phoenix даёт root за 2 минуты

Исследователи из группы COMSEC Цюрихского университета ETH совместно с Google представили новый вариант атаки Rowhammer, который успешно обходит защитные механизмы DDR5-памяти от SK Hynix. Вектор получил название Phoenix.

Rowhammer-атаки работают за счёт многократного «долбления» по одним и тем же строкам памяти, что вызывает помехи и приводит к изменению соседних битов.

В результате злоумышленник может повредить данные, повысить привилегии или даже запустить вредоносный код. Для защиты в DDR5 применяется технология Target Row Refresh (TRR), которая должна отслеживать подозрительные обращения и обновлять ячейки.

Но исследователи выяснили, что защита SK Hynix имеет «слепые зоны». Phoenix научился синхронизироваться с тысячами циклов обновления памяти и выбирать именно те моменты, когда TRR не срабатывает. В итоге на всех 15 протестированных модулях DDR5 им удалось вызвать битовые сбои и провести первую успешную атаку с повышением привилегий.

 

В экспериментах на обычной DDR5-системе с настройками по умолчанию учёным потребовалось меньше двух минут, чтобы получить root-доступ. В отдельных тестах они смогли менять записи таблиц страниц, взламывать RSA-ключи соседних виртуальных машин и подменять бинарный файл sudo для выхода в админские права.

 

Уязвимость получила идентификатор CVE-2025-6202 и высокий уровень опасности. Она затрагивает все модули DDR5, выпущенные с января 2021 по декабрь 2024 года.

Полностью закрыть проблему нельзя — это аппаратная уязвимость. Единственный способ частично защититься — увеличить частоту обновления DRAM в три раза. Но такой режим может привести к сбоям и нестабильности системы.

Подробности изложены в статье «Phoenix: Rowhammer Attacks on DDR5 with Self-Correcting Synchronization» (PDF), которую представят на конференции IEEE Symposium on Security and Privacy в следующем году.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru