Вышел бесплатный декриптор для жертв шифровальщика LockerGoga

Вышел бесплатный декриптор для жертв шифровальщика LockerGoga

Вышел бесплатный декриптор для жертв шифровальщика LockerGoga

Специалисты Bitdefender создали универсальный декриптор для восстановления данных, зашифрованных вредоносом LockerGoga. Доступ к инструменту предоставляется на безвозмездной основе.

В анонсе ИБ-компании сказано, что новая разработка — результат совместных усилий Bitdefender, Европола, проекта NoMoreRansom, а также прокуратуры и полиции Цюриха. Утилиту можно скачать из первоисточника или на сайте nomoreransom.org.

Создатели декриптора предусмотрели возможность автоматизированного поиска и обработки нужных файлов (с расширением .locked) в корпоративной сети. Инструмент при этом запускается из консоли и работает в фоновом режиме. На случай возникновения проблем с расшифровкой пользователю предоставлена опция резервного копирования файлов, которая по умолчанию включена.

Шифровальщик LockerGoga впервые появился на интернет-арене в январе 2019 года и приобрел широкую известность после разрушительной атаки на Norsk Hydro. Преступная группа, применявшая также MegaCortex и Dharma, была ликвидирована в октябре 2021 года стараниями Европола, Евроюста и правоохраны нескольких стран.

К этому времени на счету LockerGoga и Ко числилось более 1,8 тыс. жертв заражения; совокупный ущерб от деятельности вымогателей оценен в $104 миллиона. В ходе трансграничной операции были проведены 12 арестов и изъяты носители, на которых хранились закрытые ключи для расшифровки файлов.

Оператора LockerGoga заключили под стражу до суда, который состоится в Цюрихе. Поскольку ОПГ прекратила свое существование, новый декриптор предназначен в основном тем, кто отказался платить вымогателям и предпочел ждать шанса вернуть свои файлы без выкупа.

Согласно сообщению швейцарской прокуратуры, можно ожидать, что в скором времени появится также бесплатный декриптор для MegaCortex.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шпионский софт Dante от Memento Labs впервые засветился в кибератаках

Специалисты Kaspersky GReAT обнаружили использование шпиона Dante в реальных кибератаках. Вредонос создан итальянской компанией Memento Labs (ранее Hacking Team). Об этом эксперты рассказали на конференции Security Analyst Summit 2025 в Таиланде. Аналитики нашли следы Dante во время расследования операции под названием «Форумный тролль».

Эта кампания была нацелена на сотрудников российских компаний и учреждений — СМИ, госструктур, вузов и банков.

Злоумышленники рассылали персонализированные письма с приглашением на «Примаковские чтения». Если получатель открывал ссылку в браузере Chrome, устройство заражалось — без каких-либо дополнительных действий со стороны пользователя.

Главным инструментом атаки оказался зловред LeetAgent. Его команды написаны на языке Leet — редкий выбор для кибершпионажа. Исследуя код, специалисты нашли похожие элементы в другом вредоносе и выяснили, что это и есть тот самый Dante — коммерческий шпионский софт от Memento Labs.

Hacking Team, переименованная в Memento Labs, известна ещё с 2000-х годов. Ранее компания создавала «легальные» решения для наблюдения, в том числе систему Remote Control Systems (RCS), которой пользовались спецслужбы разных стран.

После громкого взлома 2015 года и утечки внутренних документов компания сменила владельца и имя. О новом проекте Dante было известно с 2019 года, но до этого момента его применение не фиксировалось.

По словам Бориса Ларина, ведущего эксперта Kaspersky GReAT, атрибуция таких шпионских инструментов крайне сложна:

«Чтобы подтвердить происхождение Dante, нам пришлось разобраться в слоях запутанного кода и сопоставить множество признаков. Название Dante, видимо, выбрано не случайно — путь к истине оказался непростым».

Чтобы не быть замеченным, Dante тщательно проверяет среду, в которой запускается, и только после этого начинает действовать.

Атаки с его участием впервые были зафиксированы платформой Kaspersky Symphony XDR. Полный отчёт о расследовании и технические детали «Форумного тролля» будут опубликованы на портале Kaspersky Threat Intelligence.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru