Η CyberArk κυκλοφόρησε μια online έκδοση του «White Phoenix», ενός open-source εργαλείου αποκρυπτογράφησης για ransomware, που βοηθά σε περιπτώσεις intermittent encryption.
Η εταιρεία λογισμικού ανακοίνωσε ότι το εργαλείο ήταν ήδη δωρεάν διαθέσιμο μέσω του GitHub, αλλά μια online έκδοση θα είναι σίγουρα πιο βολική για τα θύματα ransomware που δεν είναι τόσο εξοικειωμένα με την τεχνολογία και τους κώδικες.
Η χρήση του νέου διαδικτυακού White Phoenix είναι πολύ απλή. Τα θύματα πρέπει απλά να ανεβάσουν τα σχετικά αρχεία, να πατήσουν το κουμπί “recover” και να περιμένουν μέχρι το εργαλείο να επαναφέρει ό,τι μπορεί να ανακτηθεί.
Δείτε επίσης: Ransomware: Σημαντική μείωση του αριθμού των θυμάτων που πληρώνουν λύτρα
Προς το παρόν, το εργαλείο αποκρυπτογράφησης ransomware υποστηρίζει αρχεία PDF, έγγραφα Word και Excel, ZIP και PowerPoint. Υπάρχει, επίσης, ένα όριο μεγέθους αρχείου 10 MB. Στην περίπτωση που οι χρήστες θέλουν να αποκρυπτογραφήσουν μεγαλύτερα αρχεία ή εικονικές μηχανές (VM), θα πρέπει να χρησιμοποιήσουν την έκδοση GitHub.
Το White Phoenix στοχεύει intermittent encryption
Το intermittent encryption χρησιμοποιείται από πολλές επιχειρήσεις ransomware (Blackcat/ALPHV, Play, Qilin/Agenda, BianLian και DarkBit) για την επιτάχυνση της κρυπτογράφησης των συσκευών. Στην ουσία, κρυπτογραφεί τα αρχεία του θύματος μερικώς. Ωστόσο, αυτή είναι και η αδυναμία της μεθόδου. Πολλά κομμάτια σε ένα αρχείο δεν κρυπτογραφούνται. Εάν αυτά τα μη κρυπτογραφημένα κομμάτια δεδομένων περιέχουν χρήσιμες πληροφορίες, ειδικά στην αρχή και στο τέλος του αρχείου, αυξάνονται οι πιθανότητες επιτυχούς αναδόμησης και επαναφοράς του αρχείου μέσω του online εργαλείου αποκρυπτογράφησης.
Το White Phoenix επιχειρεί να ανακτήσει κείμενο σε έγγραφα συνενώνοντας τα μη κρυπτογραφημένα μέρη και αντιστρέφοντας το hex encoding και το CMAP (character mapping) scrambling.
Ουσιαστικά, το εργαλείο αυτοματοποιεί τη manual αποκατάσταση που χρησιμοποιείται από ειδικούς στην αποκατάσταση δεδομένων. Επομένως, αν υπάρχουν τα παραπάνω κριτήρια, το εργαλείο μπορεί να λειτουργήσει αρκετά καλά.
Δείτε επίσης: Η εκπαίδευση είναι ένας από τους μεγαλύτερους στόχους των ransomware
Ωστόσο, σύμφωνα με τη CyberArk, παίζουν ρόλο και οι συμβολοσειρές στα αρχεία για να λειτουργήσει σωστά το εργαλείο αποκρυπτογράφησης. Για παράδειγμα, τα αρχεία ZIP πρέπει να περιέχουν τη συμβολοσειρά “PK\x03\x04” και τα PDF πρέπει να περιέχουν “0 obj” και “endobj”.
Για αρχεία PDF που περιέχουν αρχεία εικόνας, η CyberArk προτείνει την επιλογή “separate files” για πιο αξιόπιστα αποτελέσματα.
Ακόμα κι αν το White Phoenix δεν μπορεί να βοηθήσει στην επαναφορά ολόκληρων συστημάτων, θα μπορούσε να βοηθήσει στην επαναφορά πολύτιμων αρχείων ή τουλάχιστον ορισμένων δεδομένων.
Δεδομένου ότι δεν υπάρχουν πιο πλήρη εργαλεία αποκρυπτογράφησης για τα ransomware που αναφέρθηκαν παραπάνω, αξίζει να δοκιμάσει κάποιος την online έκδοση του White Phoenix.
Εάν εργάζεστε με ευαίσθητες πληροφορίες, συνιστάται να κάνετε λήψη του White Phoenix από το GitHub και να το χρησιμοποιήσετε τοπικά αντί να ανεβάσετε ευαίσθητα έγγραφα στους διακομιστές της CyberArk.
Δείτε επίσης: Ποιες νέες ομάδες ransomware πρέπει να προσέχετε το 2024
Το ransomware είναι μια από τις μεγαλύτερες κυβερνοαπειλές σήμερα, γ’ αυτό οι χρήστες και οι επιχειρήσεις πρέπει να λαμβάνουν κάποια μέτρα προστασίας:
- Χρήση αξιόπιστων και εξελιγμένων antivirus λογισμικών
- Δημιουργία αντιγράφων ασφαλείας, ειδικά για τα βασικά αρχεία
- Τακτική ενημέρωση συστημάτων, εφαρμογών και antivirus προγραμμάτων
- Εκπαίδευση υπαλλήλων, ώστε να αναγνωρίζουν ύποπτα emails
- Χρήση φίλτρων για αυτόματο μπλοκάρισμα ύποπτων emails
- Χρήση firewall και VPN
- Τμηματοποίηση δικτύου, ώστε να μην μπορεί να εξαπλωθεί μόλυνση σε όλες τις συσκευές
Οι παραπάνω πρακτικές ασφαλείας μπορούν να προστατεύσουν σε ένα βαθμό τους χρήστες και τις επιχειρήσεις από διάφορες επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
