Lovit de ransomware? Victimele acestor patru tipuri de malware ce codează fișiere le pot decripta gratuit

Lovit de ransomware? Victimele acestor patru tipuri de malware ce codează fișiere le pot decripta gratuit

Cercetătorii în domeniul securității cibernetice au găsit modalitatea de decriptare a ransomware-urilor FortuneCrypt, Yatron, WannaCryFake și Avest, permițând victimelor să-și recupereze fișierele fără ca acestea să trimită sume de bani (răscumpărări) infractorilor cibernetici.

În cazul în care lucrezi într-o companie de prestigiu sau într-o instituție publică, cel puțin una dintre campaniile de mai sus va fi cunoscută. Un ransomware este un virus care, imediat ce accesează o stație de lucru (computer, laptop) sau un server, criptează toate datele pe care le întâlnește (cu precădere fișiere). Majoritatea acestora sunt bine țintite și studiate înainte, în așa fel încât proprietarul de drept să poată fi convins că cea mai bună decizie pe care o poate lua este de a face întocmai ce vor atacatorii. Printre aceste lucruri, se numără efectuarea unei recompense (de obicei, sume destul de mari, convertite în criptomonede – Bitcoin). Mesajul apare pe display oricând utilizatorul încearcă să acceseze unul dintre fișierele criptate. Chiar dacă acestea au denumirea inițială, extensia lor e diferită – ceea ce indică faptul că acestea sunt acum sub o altă proprietate.

Recent, trei instrumente de decriptare au fost lansate gratuit ca parte a No More Ransom, o inițiativă comună demarată de companiile de securitate tehnologică în colaboare cu forțele de ordine. La baza ei, această inițiativă a fost concepută să ajute întreprinderile și clienți în lupta împotriva criminalității cibernetice.

La momentul actual, mai multe instrumente gratuite de decriptare au fost introduse în arsenalul No More Ransom, dat fiind faptul că binecunoscuta companie de securitate cibernetică, Kaspersky Lab, a furnizat instrumente pentru decriptarea ransomware-urilor Yatron și FortuneCrypt, iar Emisisoft a lansat un decriptor gratuit pentru WannaCryFake.

Autorii Yatron s-au bazat pe Hidden Tear, o binecunoscută formă a ransomware-ului open-source care criptează fișierele victimelor cu extensia .yatron. Cu toate acestea, cercetătorii de la Kaspersky Lab au identificat greșeli în modul în care criptarea a fost realizată pentru Yatron, permițându-le să creeze decriptorul. Chiar și în cazul atacatorilor cibernetici, există mici vulnerabilități care pot fi utilizate și folosite în scopul decriptării fișierelor fără a plăti sume de bani necuvenite.

Cercetătorii descriu FortuneCrypt ca o formă unică a ransomware-ului care se rulează în limbajul de programare Blitz BASIC – și, de altfel, prima formă de malware care codează fișierele în acest mod.

În ciuda limbajului de programare relativ simplu, FortuneCrypt a fost implementat în mii de atacuri care amenință utilizatorii cu ștergerea fișierele pentru totdeauna, în cazul în care plata nu este efectuată în primele 24 de ore.

Cercetătorii au descoperit că modul în care este realizată criptografia FortuneCrypt este destul de slab, oferindu-le posibilitatea de a construi un instrument de decriptare într-o perioadă relativ scurtă de timp.

Pe lângă acest lucru, cercetătorii din cadrul Emisisoft au lansat un instrument gratuit de decriptare pentru WannaCryFake – o versiune falsă a WannaCry, ransomware-ul care a ieșit în evidență la nivel global în anul 2017.

Victimele malware-ului WannaCryFake își găsesc fișierele criptate cu extensia .wannacry și ce confruntă cu o notă de răscumpărare care solitică o plată în Bitcoin în schimbul returnării fișierelor. Acum, cei care se infectează cu WannaCryFake, pot descărca instrumentul de decriptare de la Emisisoft gratuit, pentru a-și recupera fișierele fără să plătească un dolar.

Cercetătorii de la Emisisoft au lansat, de asemenea, un instrument gratuit de decriptare pentru ransomware-ul Avest. Linkurile de descărcare către alte instrumente de decriptare sunt oricând disponibile pe portalul de decriptare No More Ransom.

No More Ransom oferă acum instrumente de decriptare gratuite pentru peste o sută de familii de ransowmare și, de la lansarea în urmă cu trei ani, inițiativa a oprit peste 100 de milioane de dolari din a fi plătiți infractorilor informatici.

Unul dintre principalele motive care au stat la baza inițierii acestei campanii e destul de simplu de intuit. Ulterior criptării fișierelor, atacatorii solicită o sumă de bani pentru a putea decripta doar un fișier (sau o partiție din cadrul sistemului). Ulterior, aceștia continuă să transmită mesaje de răscumpărare utilizatorului, în speranța că acesta va avea nevoie de restul fișierelor și va continua să plătească sumele cerute. Chiar dacă acesta plătește toate tranșele cerute, atacatorul va avea oricând vulnerabilitatea exploatată, ceea ce înseamnă că va putea oricând să recripteze fișierele și să continue șantajul în scopul obținerii de bani. Cu toate acestea, cu ajutorul decriptorului pus la dispoziție gratuit, fișierele pot fi salvate (și recuperate) fără nicio grijă. Din punct de vedere al securității cibernetice, acesta este un mare câștig împotriva atacatorilor – dat fiind faptul că vor fi nevoiți să dezvolte (și să scrie) un cod mult mai corect, detaliat și bine pus la punct în viitor, pentru ca un decriptor să nu fie atât de ușor de găsit.

Suna acum!