Популярные вымогательские банды бессильны, их зловредные действия больше не страшны пользователям.
Новый дешифратор «White Phoenix» позволяет жертвам вымогательских атак частично восстанавливать свои файлы. Разработка направлена в первую очередь на расшифровку данных, к которым было применено так называемое «прерывистое шифрование».
При прерывистом шифровании исходные данные делятся на определённые блоки, которые шифруются поочередно с определённым интервалом. В отличие от других методов шифрования, тут не требуется создание дополнительных блоков данных или использование заполнителей. Прерывистое шифрование позволяет обрабатывать данные жертв крайне быстро, делая их при этом полностью непригодными для использования.
В сентябре 2022 года Sentinel Labs сообщила, что прерывистое шифрование набирает обороты в сфере программ-вымогателей, причем все крупные банды предлагают его как минимум в качестве опции для своих клиентов, а нашумевшая группировка ALPHV/BlackCat, по-видимому, имеют самую сложную реализацию этого типа шифрования.
Для просмотра ссылки Войдиили Зарегистрируйся компании CyberArk, которая, собственно, разработала и опубликовала дешифратор White Phoenix, тактика прерывистого шифрования, направленная на увеличение скорости, вносит определённые недостатки в сам процесс, оставляя множество незашифрованных блоков исходных файлов, что и создаёт потенциал для бесплатного восстановления.
К операциям вымогателей, использующих прерывистое шифрование, против которых и можно применить White Phoenix, относятся:
После успешного восстановления PDF-файлов специалисты CyberArk обнаружили аналогичные возможности восстановления для других форматов данных, включая файлы, функционирующие по принципу ZIP-архивов. Эти файлы включают документы Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) и PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp).
Восстановление этих типов файлов достигается при помощи 7zip и шестнадцатеричного редактора для извлечения незашифрованных XML-файлов поврежденных документов с последующей заменой данных. White Phoenix автоматизирует все вышеуказанные шаги для поддерживаемых типов файлов, хотя в некоторых случаях и может потребоваться ручное вмешательство.
Важно отметить, что White Phoenix не всегда даёт хорошие результаты, даже если теоретически может расшифровать файл. Например, если большая часть файла была зашифрована, включая критически важные компоненты, восстановленные данные могут быть неполными или бесполезными. Следовательно, эффективность инструмента напрямую связана со степенью повреждения файла.
White Phoenix уже доступен для бесплатного скачивания из Для просмотра ссылки Войдиили Зарегистрируйся CyberArk на GitHub.
Новый дешифратор «White Phoenix» позволяет жертвам вымогательских атак частично восстанавливать свои файлы. Разработка направлена в первую очередь на расшифровку данных, к которым было применено так называемое «прерывистое шифрование».
При прерывистом шифровании исходные данные делятся на определённые блоки, которые шифруются поочередно с определённым интервалом. В отличие от других методов шифрования, тут не требуется создание дополнительных блоков данных или использование заполнителей. Прерывистое шифрование позволяет обрабатывать данные жертв крайне быстро, делая их при этом полностью непригодными для использования.
В сентябре 2022 года Sentinel Labs сообщила, что прерывистое шифрование набирает обороты в сфере программ-вымогателей, причем все крупные банды предлагают его как минимум в качестве опции для своих клиентов, а нашумевшая группировка ALPHV/BlackCat, по-видимому, имеют самую сложную реализацию этого типа шифрования.
Для просмотра ссылки Войди
К операциям вымогателей, использующих прерывистое шифрование, против которых и можно применить White Phoenix, относятся:
- Для просмотра ссылки Войди
или Зарегистрируйся ; - Для просмотра ссылки Войди
или Зарегистрируйся ; - Для просмотра ссылки Войди
или Зарегистрируйся ; - Qilin / Для просмотра ссылки Войди
или Зарегистрируйся ; - Для просмотра ссылки Войди
или Зарегистрируйся ; - Для просмотра ссылки Войди
или Зарегистрируйся .
После успешного восстановления PDF-файлов специалисты CyberArk обнаружили аналогичные возможности восстановления для других форматов данных, включая файлы, функционирующие по принципу ZIP-архивов. Эти файлы включают документы Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) и PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp).
Восстановление этих типов файлов достигается при помощи 7zip и шестнадцатеричного редактора для извлечения незашифрованных XML-файлов поврежденных документов с последующей заменой данных. White Phoenix автоматизирует все вышеуказанные шаги для поддерживаемых типов файлов, хотя в некоторых случаях и может потребоваться ручное вмешательство.
Важно отметить, что White Phoenix не всегда даёт хорошие результаты, даже если теоретически может расшифровать файл. Например, если большая часть файла была зашифрована, включая критически важные компоненты, восстановленные данные могут быть неполными или бесполезными. Следовательно, эффективность инструмента напрямую связана со степенью повреждения файла.
White Phoenix уже доступен для бесплатного скачивания из Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru