Вышел дешифратор для жертв вымогателей BlackCat, Play, DarkBit, Agenda

Вышел дешифратор для жертв вымогателей BlackCat, Play, DarkBit, Agenda

Вышел дешифратор для жертв вымогателей BlackCat, Play, DarkBit, Agenda

Новый дешифратор White Phoenix позволяет частично вернуть в прежнее состояние файлы, пострадавшие от различных семейств программ-вымогателей. Он пригодится тем, кто стал жертвой вредоноса, использующего прерывистое шифрование.

Как известно, прерывистое шифрование — одна из техник, полюбившаяся ряду авторов программ-вымогателей. Её смысл в том, чтобы чередовать зашифрованные и пропущенные куски данных.

С помощью прерывистого шифрования злоумышленники добиваются гораздо более быстрой работы вредоноса, при этом пострадавшие файлы не представляют для атакованного пользователя никакой ценности.

В сентябре прошлого года разработчики шифровальщиков начали имплементировать прерывистое шифрование в свои продукты. Среди них можно выделить, например, BlackCat/ALPHV.

 

Однако теперь специалисты компании CyberArk разработали дешифратор White Phoenix, который как раз опирается на недостатки прерывистого шифрования. Дело в том, что незашифрованные части файлов могут дать почву для возможного восстановления пострадавших частей.

Создать White Phoenix удалось после экспериментов с зашифрованными PDF-файлами, из которых исследователи пытались восстановить текст и графику. В ходе анализа эксперты выяснили, что отдельные режимы шифрования BlackCat не трогают многие объекты в PDF-документах.

После эффективного восстановления PDF с помощью White Phoenix команда CyberArk «нащупала» аналогичный метод дешифровки других форматов, включая архивы ZIP: Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) и PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp).

 

Скачать дешифратор можно в публичном GitHub-репозитории CyberArk.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Взломан сайт Xubuntu: вместо торрента распространяли вредоносный файл

Пользователи дистрибутива Xubuntu, созданного на базе Ubuntu, сообщили о взломе официального сайта проекта. Вместо привычного торрент-файла для загрузки системы на странице появился ZIP-архив с вредоносным исполняемым файлом для систем Windows (EXE).

Проверка на VirusTotal показала, что этот файл детектируется 32 антивирусными движками.

После первых сообщений от пользователей команда Xubuntu оперативно удалила подозрительную ссылку с сайта.

Некоторые пользователи запустили подозрительный файл в виртуальной машине. При запуске он на мгновение открывал окно командной строки Windows, а затем отображал интерфейс, похожий на официальный установщик Xubuntu. По всей видимости, именно в этот момент происходил запуск скрытых вредоносных компонентов.

Чтобы не вызывать подозрений, злоумышленники добавили в архив настоящий установщик Xubuntu — в итоге пользователь видел привычный процесс установки и не догадывался, что в фоне вредонос начинал искать конфиденциальные данные.

Пока ни одна ИБ-компания не опубликовала технический разбор зловреда. Однако эксперты полагают, что авторов интересуют криптовалютные кошельки и финансовые данные.

Команда Xubuntu уже восстановила корректные ссылки на загрузку и расследует детали инцидента. Пользователям, которые успели скачать ZIP-архив, настоятельно рекомендуется удалить файл и проверить систему антивирусом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru