CyberArk создала онлайн-версию «Белого Феникса», расшифровщика вымогательских программ с открытым исходным кодом, нацеленного на операции, использующие прерывистое шифрование.
Компания отметила, что, хотя инструмент уже был свободно доступен на GitHub в виде проекта на языке Python, они посчитали, что для менее технически подкованных пользователей-жертв вымогательских программ, которые не знают, как работать с кодом, необходимо создать онлайн-версия.
Пользоваться онлайн-версией White Phoenix просто: загрузите файлы, нажмите кнопку «восстановить» и дайте инструменту время на восстановление.
В настоящее время инструмент поддерживает PDF-файлы, файлы документов Word и Excel, ZIP-файлы и PowerPoint. Кроме того, онлайн-версия имеет ограничение на размер файла в 10 МБ, поэтому если вы хотите расшифровать более крупные файлы или виртуальные машины (ВМ), вам подойдет версия программы на GitHub.
Возможности прерывистого шифрования
Прерывистое шифрование – это метод, используемый многими вымогателями для ускорения шифрования устройств путем лишь частичного шифрования файлов жертвы.
К числу современных штаммов вымогателей, использующих прерывистое шифрование, относятся Blackcat/ALPHV, Play, Qilin/Agenda, BianLian и DarkBit. Поэтому White Phoenix может помочь жертвам только этих штаммов.
Используя прерывистое шифрование, хакеры могут ускорить шифрование всей информации, оставляя жертв без возможности восстановить данные без оплаты.
Однако прерывистое шифрование имеет и слабое место: оно оставляет значительные фрагменты незашифрованных данных в файле. Если эти куски незашифрованных данных содержат полезную информацию, особенно в начале и конце файла, шансы на успешное восстановление файла без оплаты услуг дешифровщика возрастают.
White Phoenix пытается восстановить текст в документах путем конкатенации незашифрованных частей и обратного шестнадцатеричного кодирования и CMAP (сопоставления символов) скремблирования.
White Phoenix – это инструмент, автоматизирующий ручное восстановление, используемый экспертами по восстановлению данных, поэтому в зависимости от типа файла и программы расшифровщик может работать не очень хорошо.
CyberArk ранее сообщил, что для корректной работы расшифровщика в файлах должны быть читаемы определенные строки в зависимости от их типа. Например, ZIP-файлы должны содержать строку «PK\x03\x04», а PDF-файлы – «0 obj» и «endobj».
Для PDF-файлов, содержащих файлы изображений, CyberArk предлагает проверить опцию «отдельные файлы» для получения более надежных результатов.
Даже если White Phoenix не сможет восстановить всю систему, он все равно поможет восстановить ценные файлы или хотя бы извлечь из них некоторые данные.
В настоящее время не существует рабочих дешифраторов для указанных семейств вымогателей, поэтому возможности восстановления сильно ограничены, поэтому White Phoenix стоит попробовать.
Обратите внимание, что если вы работаете с конфиденциальной информацией, рекомендуется загрузить локальную версию White Phoenix с GitHub, а не загружать конфиденциальные документы на серверы CyberArk.
Комментарии (0)