Η CyberArk δη
μι
ούργησε μια διαδικτυακή έκδοση του «White Phoenix», ενός ανοιχτού κώδικα απο
κρυπτο
γράφησης ransomware που στοχεύει λειτουργίες με χρήση διαλείπουσας κρυπτογράφησης.
Η εταιρία
ανακοινώθηκε σήμερα
ότι παρόλο που το εργαλείο ήταν ήδη ελεύθερα διαθέσιμο μέσω του GitHub ως έργο Python, ένιωσαν ένα
online έκδοση
χρειαζόταν για τα θύματα ransomware που δεν γνωρίζουν πώς να δουλέψουν τον κώδικα.
Η χρήση του διαδικτυακού White Phoenix είναι τόσο απλή όσο το να ανεβάσετε αρχεία, να πατήσετε το κουμπί “ανάκτηση” και να αφήσετε το εργαλείο λίγο χρόνο για να επαναφέρει ό,τι μπορεί.
Επί του παρόντος, το εργαλείο υποστηρίζει αρχεία PDF, αρχεία εγγράφων Word και Excel, ZIP και PowerPoint. Επίσης, η ηλεκτρονική έκδοση έχει όριο μεγέθους αρχείου 10 MB, οπότε αν θέλετε να αποκρυπτογραφήσετε μεγαλύτερα αρχεία ή εικονικές μηχανές (VM),
Έκδοση GitHub
είναι ο μόνος δρόμος.
Ευκαιρίες διαλείπουσας κρυπτογράφησης
Η διακοπτόμενη κρυπτογράφηση είναι μια μέθοδος που χρησιμοποιείται από πολλές λειτουργίες ransomware για την επιτάχυνση της κρυπτογράφησης των συσκευών κρυπτογραφώντας μόνο εν μέρει τα αρχεία του θύματος.
Τα τρέχοντα στελέχη ransomware που χρησιμοποιούν διαλείπουσα κρυπτογράφηση περιλαμβάνουν Blackcat/ALPHV, Play, Qilin/Agenda, BianLian και DarkBit. Επομένως, το White Phoenix μπορεί να βοηθήσει μόνο τα θύματα που έχουν πληγεί από αυτά τα στελέχη.
Χρησιμοποιώντας διακεκομμένη κρυπτογράφηση, οι φορείς απειλών μπορούν να επιταχύνουν τις επιθέσεις τους, αφήνοντας τα θύματα χωρίς τρόπο να επαναφέρουν τα δεδομένα τους χωρίς να πληρώσουν.
Ωστόσο, η διακοπτόμενη κρυπτογράφηση συνοδεύεται από μια αδυναμία, καθώς αφήνει σημαντικά κομ
μάτια
μη κρυπτογραφημένων δεδομένων σε ένα αρχείο. Εάν αυτά τα κομμάτια μη κρυπτογραφημένων δεδομένων περιέχουν χρήσιμες πληροφορίες, ειδικά στην αρχή και στο τέλος του αρχείου, αυξάνονται οι πιθανότητες επιτυχούς αναδόμησης και επαναφοράς του αρχείου χωρίς να πληρώσετε για αποκρυπτογράφηση.
Το White Phoenix επιχειρεί να ανακτήσει κείμενο σε έγγραφα συνενώνοντας μη κρυπτογραφημένα μέρη και αντιστρέφοντας την εξαγωνική κωδικοποίηση και την κρυπτογράφηση CMAP (χαρτογράφηση χαρακτήρων).
Το White Phoenix είναι βασικά ένα εργαλείο που αυτοματοποιεί τη χειροκίνητη αποκατάσταση που χρησιμοποιείται από ειδικούς στην αποκατάσταση δεδομένων, επομένως ανάλογα με τον τύπο αρχείου και το ransomware, ο αποκρυπτογραφητής μπορεί να μην λειτουργεί ιδιαίτερα καλά.
Η CyberArk είπε προηγουμένως στο BleepingComputer ότι ορισμένες συμβολο
σειρές
πρέπει να είναι αναγνώσιμες στα αρχεία ανάλογα με τον τύπο τους για να λειτουργήσει σωστά ο αποκρυπτογραφητής. Για παράδειγμα, τα αρχεία ZIP πρέπει να περιέχουν τη συμβολοσειρά “PKx03x04” και τα PDF πρέπει να περιέχουν “0 obj” και “endobj”.
Για αρχεία PDF που περιέχουν αρχεία εικόνας, η CyberArk προτείνει να ελέγξετε την επιλογή “ξεχωριστά αρχεία” για πιο αξιόπιστα αποτελέσματα.
Ακόμα κι αν το White Phoenix δεν μπορεί να βοηθήσει στην επαναφορά ολόκληρων συστημάτων, θα μπορούσε να βοηθήσει στην επαναφορά πολύτιμων αρχείων ή τουλάχιστον στην ανάκτηση ορισμένων δεδομένων από αυτά.
Προς το παρόν δεν υπάρχουν λειτουργικοί αποκρυπτογραφητές για τις αναφερόμενες οικογένειες ransomware, επομένως οι επιλογές αποκατάστασης είναι πολύ περιορισμένες, γεγονός που καθιστά το White Phoenix αξίζει να δοκιμάσετε.
Λάβετε υπόψη ότι εάν εργάζεστε με ευαίσθητες πληροφορίες, συνιστάται να κάνετε λήψη του White Phoenix από το GitHub και να το χρησιμοποιήσετε τοπικά αντί να ανεβάσετε ευαίσθητα έγγραφα στους διακομιστές του CyberArk.
VIA:
bleepingcomputer.com
