Создан инструмент для восстановления файлов, зашифрованных LeChiffre

Как стало известно в конце прошлой недели, три индийских банка и фармацевтическая компания стали жертвами шифровальщика LeChiffre. Изучив образец вредоносного ПО, исследователи из Malwarebytes указали на непрофессионализм разработчиков вредоноса. Эту теорию подтвердил эксперт Emsisoft Фабиан Восар (Fabian Wosar), сумевший всего за день взломать шифрование LeChiffre, сообщается на портале Bleeping Computer.

В отличие о других подобных программ, автоматически заражающих целевые системы, инфицирование LeChiffre производится вручную. По словам специалистов, атака предполагала два этапа. На первом злоумышленник взламывал сети целевых компаний, повышал привилегии на системе и получал доступ к другим компьютерам сети через порты Remote Desktop. Проникнув на компьютер жертвы, атакующий вручную инициировал загрузку LeChiffre с сервера, а затем запускал вредоносное приложение. За восстановление зашифрованных файлов вымогатель требовал выкуп в размере 1 биткоин (порядка $400 по текущему курсу).

Эксперт Emsisoft уже разработал инструмент для восстановления пострадавших данных и опубликовал его на сайте Emsisoft. В настоящее время инструмент работает только для LeChiffre версии 2.6. Дешифровщику требуется подключение к интернету. ПО должно быть запущено на том же устройстве, где находятся пострадавшие файлы.

В декабре прошлого года Восар представил инструмент, позволяющий восстановить контент, зашифрованный программой-вымогателем Gomasom.