ESET lansează un utilitar de decriptare pentru variantele de ransomware AESNI, inclusiv XData


Lansarea cheilor master pentru variantele mai vechi de ransomware a devenit oarecum o tendință în decursul acestor zile. La scurt timp după lansarea actualizării utilitarului de decriptare pentru Crysis, au fost publicate cheile principale pentru unele dintre variantele familiei AES-NI - în special Win32/Filecoder.AESNI.B și Win32/Filecoder.AESNI.C, ultima variantă fiind cunoscută și sub denumirea de XData.

În jurul acestui subiect, experții ESET au pregătit un instrument de decriptare pentru AES-NI.

Utilitarul funcționează pentru fișierele criptate de cheia RSA offline, utilizată de varianta B a AES-NI, ce adaugă extensiile .aes256, .aes_ni și .aes_ni_0day la fișierele afectate, precum și pentru cele afectate de varianta C a AES-NI (sau XData) cu extensiile .~ xdata ~.

Victimele care au încă fișierele criptate pot descărca instrumentul de pe pagina aceasta de descărcare. Pentru informații suplimentare despre modul de utilizare a instrumentului și pentru informații detaliate despre anumite cazuri în care instrumentul de decriptare nu vă poate ajuta, consultați Baza de cunoștințe de la ESET.

Prin urmare, cine continuă să pună în circulație aceste chei principale?

În primul rând, cheile pentru varianta A a familiei ransomware AES-NI au fost publicate pe un forum pentru asistarea  persoanelor afectate de ransomware, fiind urmate apoi de cheia master pentru varianta B a AES-NI, lansată prin intermediul platformei Twitter de niște autori identificați de malware. Un invitat anonim a postat cheia master pentru varianta C (alias XData) pe un forum câteva zile mai târziu.

În mod interesant, așa cum a raportat BleepingComputer, grupul din spatele ransomware-ului AES-NI susține că secvența codului sursă a fost deja furată și ulterior folosită în campania XData din Ucraina.

Inițial, malware-ul a avut restricții implementate care au împiedicat infectările din Rusia și țările membre din Comunitatea Statelor Independente - tactici utilizate în mod obișnuit de autorii malware ruși pentru a evita urmărirea penală din partea guvernului propriu. Totuși, restricțiile par a fi fost neutralizate de operatorii XData pentru a viza în mod specific regiunea.

Pentru mai multe informații despre cum să vă protejați de ransomware, consultați sfaturile de specialitate pe această temă.

 

ONDREJ KUBOVIČ

CORESPONDENT INDEPENDENT

 

oana June 8, 2017

Lasa un comentariu