Встречайте White Phoenix: мощный дешифратор, восстанавливающий данные после атак программ-вымогателей
Популярные вымогательские банды бессильны, их зловредные действия больше не страшны пользователям.
Новый дешифратор «White Phoenix» позволяет жертвам вымогательских атак частично восстанавливать свои файлы. Разработка направлена в первую очередь на расшифровку данных, к которым было применено так называемое «прерывистое шифрование».
При прерывистом шифровании исходные данные делятся на определённые блоки, которые шифруются поочередно с определённым интервалом. В отличие от других методов шифрования, тут не требуется создание дополнительных блоков данных или использование заполнителей. Прерывистое шифрование позволяет обрабатывать данные жертв крайне быстро, делая их при этом полностью непригодными для использования.
В сентябре 2022 года Sentinel Labs сообщила, что прерывистое шифрование набирает обороты в сфере программ-вымогателей, причем все крупные банды предлагают его как минимум в качестве опции для своих клиентов, а нашумевшая группировка ALPHV/BlackCat, по-видимому, имеют самую сложную реализацию этого типа шифрования.
Согласно данным компании CyberArk, которая, собственно, разработала и опубликовала дешифратор White Phoenix, тактика прерывистого шифрования, направленная на увеличение скорости, вносит определённые недостатки в сам процесс, оставляя множество незашифрованных блоков исходных файлов, что и создаёт потенциал для бесплатного восстановления.
К операциям вымогателей, использующих прерывистое шифрование, против которых и можно применить White Phoenix, относятся:
CyberArk удалось подобрать нужный алгоритм рабрты White Phoenix после экспериментов с частично зашифрованными файлами PDF. Исследователи обнаружили, что в определённых режимах шифрования программы-вымогателя BlackCat многие объекты в PDF-файлах оставались незатронутыми, что и позволило извлечь из них данные.
После успешного восстановления PDF-файлов специалисты CyberArk обнаружили аналогичные возможности восстановления для других форматов данных, включая файлы, функционирующие по принципу ZIP-архивов. Эти файлы включают документы Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) и PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp).
Восстановление этих типов файлов достигается при помощи 7zip и шестнадцатеричного редактора для извлечения незашифрованных XML-файлов поврежденных документов с последующей заменой данных. White Phoenix автоматизирует все вышеуказанные шаги для поддерживаемых типов файлов, хотя в некоторых случаях и может потребоваться ручное вмешательство.
Важно отметить, что White Phoenix не всегда даёт хорошие результаты, даже если теоретически может расшифровать файл. Например, если большая часть файла была зашифрована, включая критически важные компоненты, восстановленные данные могут быть неполными или бесполезными. Следовательно, эффективность инструмента напрямую связана со степенью повреждения файла.
White Phoenix уже доступен для бесплатного скачивания из общедоступного репозитория CyberArk на GitHub.
Домашний Wi-Fi – ваша крепость или картонный домик?