Kaseya получила универсальный дешифратор для жертв вымогателя REvil
Kaseya получил универсальный дешифратор, который позволяет жертвам атаки вымогателя REvil от 2 июля восстанавливать свои файлы.
2 июля операция вымогателя REvil начала массовую атаку, используя уязвимость нулевого дня в приложении удаленного управления Kaseya VSA для шифрования примерно шестидесяти поставщиков управляемых услуг и примерно 1500 предприятий.
После атаки злоумышленники потребовали 70 миллионов долларов за универсальный дешифратор, 5 миллионов долларов за MSP и 40 000 долларов за каждое расширение, зашифрованное в сети жертвы.
Вскоре после этого REvil таинственным образом исчезла, а злоумышленники закрыли свои платежные сайты и инфраструктуру.
Сегодня Kaseya заявила, что они получили универсальный дешифратор для атаки программ-вымогателей от «доверенной третьей стороны» и теперь распространяют его среди пострадавших клиентов.
«Мы можем подтвердить, что получили дешифратор от доверенной третьей стороны, но больше не можем делиться информацией об источнике», - сказала BleepingComputer Дана Лидхольм, старший вице-президент по корпоративному маркетингу Kaseya.
«У нас есть инструмент, проверенный дополнительной третьей стороной, и мы начали выпускать его среди затронутых нами клиентов».
Хотя Kaseya не стал делиться информацией об источнике ключа, они подтвердили, что это универсальный ключ дешифрования для всей атаки, позволяющий всем MSP и их клиентам бесплатно дешифровать файлы.
Технический директор Emsisoft Фабиан Восар сказал BleepingComputer, что они были третьей стороной, которая проверила ключ и продолжит помогать Kaseya в их усилиях по восстановлению.
Группа SynAck выпустила главные ключи дешифрования для своей работы после ребрендинга в новую группу El_Cometa.
Сегодня SynAck выпустила мастер-ключи, дешифратор и руководство по использованию мастер-ключей и поделилась ими на своем сайте утечки данных.
После получения ключей Майкл Гиллеспи подтвердил, что ключи являются законными и сообщил, что будет дешифратор SynAck, чтобы жертвы могли бесплатно восстановить свои файлы.
Технический директор Emsisoft Фабиан Восар сообщил, что архив содержит в общей сложности шестнадцать главных ключей дешифрования.
По словам жертв, которые обращались за помощью на форумах поддержки программ-вымогателей Bleeping Computer и из сообщений в службу ID-Ransomware, за последние два дня возросла активность относительно неизвестного штамма вымогателя SynAck.
Этот конкретный штамм вымогателя, названный SynAck или Syn Ack, был впервые обнаружен 3 августа (2017г), и эксперты быстро определили, что они рассматривают совершенно новый штамм вымогателя в целом.
программа-вымогатель SynAck, известная с сентября 2017 года (тогда это был обычный зловред, не отличавшийся особыми умом и сообразительностью), недавно прошла серьезную модернизацию. Теперь она научилась избегать обнаружения с невероятной эффективностью и использует новую технику маскировки процессов — клонирование.
Ragnarok выпускает дешифратор с встроенным мастер-ключом после завершения работы
Похоже, что Ragnarok объявила о закрытии и выпустила главный ключ, который может расшифровать файлы, заблокированные их вредоносным ПО.
Злоумышленник не оставил записки с объяснением этого шага и внезапно заменил всех жертв на их сайте утечки короткой инструкцией о том, как расшифровать файлы.
Эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что выпущенный сегодня дешифратор Ragnarok содержит главный ключ дешифрования.
Универсальный дешифратор для программы-вымогателя Ragnarok в настоящее время находится в разработке и вскоре будет выпущен компанией Emsisoft, известной своей помощью в расшифровке данных жертвам программ-вымогателей.
Ragnarok существует по крайней мере с января 2020 года и заявила о десятках жертв после того, как в прошлом году попала в заголовки об использовании уязвимости Citrix ADC.
Ragnarok - не единственная кибергруппа, выпустившая ключ дешифрования в этом году
Ziggy прекратила работу в феврале, и ее оператор поделился файлом с 922 ключами
В мае Conti предоставил ВШЭ Ирландии бесплатный дешифратор.
Avaddon закрылась в июне и выпустила ключи дешифрования
SynAck, переименованная в El_Cometa, выпустила главные ключи дешифрования как часть этого перехода
пока не удалось протестировать дешифратор. "молчит" после запуска, малоинформативный. файл key.ini пересоздается после запуска decode_deviceID.exe. в key.ini сохраняется сессионный ключ и вектор инициализации. EXT для расшифровки необх указывать самостоятельно.
upd:3:
[27 августа 2021 г.] - Версия: 1.0.0.0 Emsisoft Decryptor для Ragnarok
Программа-вымогатель Ragnarok шифрует файлы жертвы с помощью AES-256 и RSA-4096, добавляя расширение «..thor» или «..hela».
Чтобы расшифровать ваши файлы, вам нужно будет предоставить дешифратору записку с требованием выкупа.
Обратите внимание, что из-за ошибки в более ранней вредоносной программе расширения «.ragnarok» и «.ragnarok_cry» в настоящее время не могут быть расшифрованы.
Выпущен бесплатный главный дешифратор для REvil, позволяющий всем жертвам, зашифрованным до исчезновения кибергруппы, бесплатно восстанавливать свои файлы.
Bitdefender не смог поделиться подробностями о том, как они получили главный ключ дешифрования или о задействованных правоохранительных органах, они сообщили BleepingComputer, что он работает
для всех жертв REvil, зашифрованных до 13 июля.
«Согласно нашему сообщению в блоге, мы получили ключи от надежного партнера из правоохранительных органов, и, к сожалению, это единственная информация, которую мы вправе раскрыть прямо сейчас», - сказал BleepingComputer директор по исследованию угроз и отчетности Bitdefender Богдан Ботезату.
«Как только расследование продвинется и подойдет к концу, после утверждения будут предложены дальнейшие подробности».
Жертвы программы-вымогателя REvil могут загрузить мастер-дешифратор из Bitdefender (инструкции) и расшифровать полностью компьютер сразу или указать определенные папки для дешифрования.
Чтобы протестировать дешифратор, BleepingComputer зашифровал виртуальную машину с помощью образца REvil, который использовался в атаке в начале этого года. После шифрования наших файлов мы могли бы использовать дешифратор Bitdefender, чтобы легко восстановить наши файлы, как показано ниже.
upd:1 да, работает расшифровка по другим случаям, отличным от Kassya, в том числе и по файлам для Кассии. (собственно, расшифровываются практически все варианты, до апреля 2019 года)
This utility decrypts files encrypted by REvil ransomware.
This tool requires internet access!
NOTE: Certain versions of REvil are not yet decryptable.
Found the ransom note: Z:\test\revil\wy32wlj-readme.txt
Sending init request.
Done.
Sending intermediate request.
Done.
"REvil представил режим шифрования, который вызывает проблемы с инструментом дешифрования между 2020-01-15 и 2020-2-11. Основываясь на случаях, которые я обработал, и образцы, загруженные в VT с тех пор, я оцениваю, что от 10% до 15% всех жертв будут затронуты"
возможно, инструмент расшифровки будет обновлен в ближайшее время
upd:3
Ф.Восар:
"Похоже, Bitdefender обновил свой инструмент. Они не только изменили свои настройки по умолчанию, чтобы теперь создавать резервные копии, если они не отключены, но также добавили поддержку третьего режима шифрования REvil, представленного в начале 2020 года. Хорошая работа!:)"
upd:4 BitDefender очень внимательны к замечаниям и исправлениям дешифраторов.
теперь расшифровка возможна и для раннего формата записок о выкупе.
Found the ransom note: G:\DATA\shifr\encode_files\Revil\app.any.run more\29.04.19\test\6d4q6r3o-HOW-TO-DECRYPT.txt
Sending init request.
... Total decrypted files: [2]
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Выпущен дешифратор к BlackByte для бесплатного восстановления файлов
Выпущен бесплатный дешифратор к BlackByte, позволяющий жертвам восстанавливать свои файлы бесплатно.
При запуске большинство программ-вымогателей генерируют уникальный ключ шифрования для каждого файла или один ключ для каждой машины, известный как ключи сеанса, используемые для шифрования устройства жертвы.
Затем эти ключи шифруются открытым ключом RSA и добавляются в конец зашифрованного файла или записки о выкупе. Этот зашифрованный ключ теперь может быть расшифрован только связанным частным ключом дешифрования, известным только операторам вымогателя.
Это позволяет злоумышленникам расшифровать зашифрованные ключи, когда жертва платит выкуп.
BlackByte повторно использовал ключи шифрования
В отчете Trustwave исследователи объясняют, что программа-вымогатель загружала файл под названием forest.png с удаленного сайта, находящегося под их контролем. Хотя этот файл назван так, чтобы отображаться как файл изображения, на самом деле он содержит ключ шифрования AES, используемый для шифрования устройства.
Поскольку BlackByte использует симметричное шифрование AES, для шифрования и дешифрования файлов используется один и тот же ключ.
В то время как BlackByte также шифрует этот загруженный ключ шифрования AES и добавляет его в записку о выкупе, Trustwave обнаружила, что кибергруппа повторно использовала один и тот же файл forest.png для нескольких жертв.
Поскольку один и тот же «необработанный» ключ шифрования использовался повторно, Trustwave могла использовать этот ключ для создания дешифратора, который бесплатно восстанавливает файлы жертвы.
Однако при выпуске таких бесплатных дешифраторов всегда есть недостатки, поскольку они предупреждают злоумышленников об ошибках в их программах и быстро исправляются.
Отчет Trustwave и дешифратор не остались незамеченными злоумышленниками, которые предупредили, что они использовали более одного ключа и что использование дешифратора с неправильным ключом может повредить файлы жертвы.
мы видели в некоторых местах, что есть расшифровка для нашего выкупа. Мы не рекомендуем вам использовать это. потому что мы не используем только 1 ключ. Если вы будете использовать неправильную расшифровку для своей системы, вы можете сломать все, и вы не сможете восстановить свою систему снова. Мы просто хотим предупредить вас, что если вы решите использовать это, вы делаете это на свой страх и риск ». - BlackByte.
Если вы являетесь жертвой BlackByte и хотите использовать дешифратор Trustwave, вам нужно будет загрузить исходный код с Github и скомпилировать его самостоятельно.
Хотя Trustwave включил файл по умолчанию forest.png, который будет использоваться для извлечения ключа дешифрования, возможно, BlackByte произвел ротацию ключей шифрования, загруженных в этот файл.
В связи с этим настоятельно рекомендуется создавать резервные копии файлов, прежде чем пытаться их расшифровать.
Кроме того, если у вас есть файл forest.png на зашифрованном устройстве, вам следует использовать этот файл, а не тот, который поставляется с дешифратором Trustwave.
Кто такой BlackByte?
BlackByte - это программа-вымогатель, которая постепенно начала нацеливаться на корпоративных жертв по всему миру в начале июля 2021 года.
Первые сообщения о программе-вымогателе появились примерно через неделю на форумах BleepingComputer после того, как жертвы обратились за помощью в расшифровке своих файлов.
Написанный на C #, BlackByte будет пытаться завершить многочисленные процессы безопасности, почтового сервера и базы данных, чтобы успешно зашифровать устройство.
Программа-вымогатель также попытается отключить Microsoft Defender на целевых устройствах перед попыткой шифрования.
Хотя BlackByte не так активен, как другие программы-вымогатели, они успешно провели множество атак по всему миру, и их нельзя игнорировать.
Выпущен дешифратор к Babuk Ransomware для бесплатного восстановления файлов
Чешская компания по разработке программного обеспечения для кибербезопасности Avast создала и выпустила инструмент для дешифрования, чтобы помочь жертвам программы-вымогателя Babuk бесплатно восстановить свои файлы.
По данным Avast Threat Labs, дешифратор Babuk был создан с использованием утекшего исходного кода и ключей дешифрования.
Бесплатный дешифратор может использоваться жертвами Бабука, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
Жертвы программы-вымогателя Babuk могут загрузить инструмент дешифрования с серверов Avast и сразу расшифровать целые разделы, используя инструкции, отображаемые в пользовательском интерфейсе дешифратора.
Судя по тестам BleepingComputer, этот дешифратор, скорее всего, будет работать только для жертв, ключи которых были утекли как часть дампа исходного кода Бабука.
Утечка программ-вымогателей и ключей дешифрования
Полный исходный код вымогателя Бабука был просочился на русскоязычный хакерский форум в прошлом месяце злоумышленником, который заявил, что является членом группы вымогателей.
Общий архив содержал различные проекты вымогателей Visual Studio Babuk для шифровальщиков VMware ESXi, NAS и Windows, а папка Windows содержала полный исходный код шифровальщика, дешифратора Windows и то, что выглядело как генераторы закрытых и открытых ключей.
В утечку также были включены шифровальщики и дешифраторы, скомпилированные для конкретных жертв.
После утечки технический директор Emsisoft и эксперт по программам-вымогателям Фабиан Восар сообщил BleepingComputer, что исходный код является законным и что архив также может содержать ключи дешифрования для прошлых жертв.
Мутная история Бабука
Babuk Locker, также известный как Babyk and Babuk, - это программа-вымогатель, запущенная в начале 2021 года, когда она начала нацеливаться на компании с целью кражи и шифрования их данных в рамках атак с двойным вымогательством.
После нападения на Департамент столичной полиции Вашингтона, округ Колумбия, они приземлились под прицелом правоохранительных органов США и заявили, что прекратили свою деятельность.
После этой атаки «Админ» кибергруппы якобы хотел опубликовать украденные данные MPD в Интернете для огласки, в то время как другие члены были против.
После этого члены Babuk разделились: первоначальный администратор запустил форум по борьбе с киберпреступностью Ramp, а другие перезапустили программу-вымогатель под именем Babuk V2, продолжая с тех пор нацеливать и шифровать жертв.
Выпущен бесплатный дешифратор для программ-вымогателей Atom Silo и LockFile
Avast только что выпустил инструмент дешифрования, который поможет жертвам программ-вымогателей AtomSilo и LockFile бесплатно восстановить некоторые из своих файлов без необходимости платить выкуп.
Ранее сегодня Avast выпустил еще один инструмент дешифрования, чтобы помочь жертвам вымогателей Babuk бесплатно восстановить свои файлы.
Как объяснила чешская компания, занимающаяся разработкой программного обеспечения для кибербезопасности, этот дешифратор, возможно, не сможет расшифровать файлы с неизвестным, проприетарным форматом или вообще без формата.
«Во время процесса дешифрования дешифратор Avast AtomSilo полагается на известный формат файла, чтобы убедиться, что файл был успешно расшифрован. По этой причине некоторые файлы не могут быть расшифрованы», - заявили в группе аналитики угроз Avast.
Декриптор работает с обоими штаммами вымогателей, потому что они очень похожи, хотя группы, развертывающие их в сетях жертв, используют разные тактики атаки.
В Avast Threat Labs заявили, что этот расшифровщик вымогателей был создан в сотрудничестве с аналитиком вредоносных программ RE - CERT Jiří Vinopal, который в начале этого месяца обнаружил уязвимость в программе-вымогателе AtomSilo.
BleepingComputer протестировал инструмент и восстановил файлы, зашифрованные с помощью образца Atom Silo, с помощью бесплатного дешифратора Avast.
Операция вымогателя LockFile была впервые замечена в июле 2021 года после того, как кибергруппа была замечена в захвате доменов Windows и шифровальных устройств после эксплуатации серверов, на которых не было исправлено уязвимостей ProxyShell и PetitPotam.
При шифровании файлов программа-вымогатель LockFile добавит расширение .lockfile к именам зашифрованных файлов и оставит заметки о выкупе с именами в формате '[имя_ жертвы] -LOCKFILE-README.hta'.
Особый интерес вызывает то, что цветовая схема LockFile и макет записки с требованием выкупа очень похожи на программу-вымогатель LockBit. Однако, похоже, нет никакой связи между двумя группами.
Atom Silo - это недавно обнаруженная кибергруппа, операторы которой недавно нацелились на серверы Confluence Server и Data Center, уязвимые перед исправленной и активно эксплуатируемой ошибкой.
По словам исследователей SophosLabs, программа-вымогатель, используемая Atom Silo, практически идентична LockFile.
Однако операторы Atom Silo используют новые методы, которые чрезвычайно затрудняют расследование их атак, включая загрузку вредоносных динамически подключаемых библиотек, которые нарушают работу решений защиты конечных точек.
Разработчик Egregor и Maze выпустил главные ключи расшифровки
Главные ключи дешифрования для операций программ-вымогателей Maze, Egregor и Sekhmet были опубликованы прошлой ночью на форумах BleepingComputer предполагаемым разработчиком вредоносного ПО.
Программа-вымогатель Maze начала работать в мае 2019 года и быстро приобрела известность, поскольку она была ответственна за использование тактики кражи данных и двойного вымогательства, которая теперь используется во многих операциях с программами-вымогателями.
После того, как Maze объявили о своем закрытии в октябре 2020 года, в сентябре они были переименованы в Egregor, который позже исчез после ареста участников в Украине.
Sekhmet была чем-то вроде исключения, поскольку она была запущена в марте 2020 года, когда «Лабиринт» все еще был активен.
Выпущены мастер-ключи дешифрования
Спустя 14 месяцев ключи дешифрования для этих операций просочились на форумы BleepingComputer пользователем по имени «Topleak», который утверждает, что является разработчиком всех трех операций.
На плакате говорилось, что это была спланированная утечка и она не связана с недавними операциями правоохранительных органов, которые привели к захвату серверов и арестам аффилированных лиц вымогателей.
«Поскольку это вызовет слишком много улик, и большинство из них будут ложными, необходимо подчеркнуть, что это запланированная утечка, и она не имеет никакого отношения к недавним арестам и ликвидации», — пояснил предполагаемый разработчик программы-вымогателя.
Они также заявили, что ни один из членов их команды никогда не вернется к программе-вымогателю и что они уничтожили весь исходный код своей программы-вымогателя.
Пост включает ссылку для загрузки файла 7zip с четырьмя архивами, содержащими ключи дешифрования Maze, Egregor и Sekhmet, а также исходный код вредоносного ПО M0yv.
Каждый из этих архивов содержит общедоступный мастер-ключ шифрования и закрытый мастер-ключ дешифрования, связанный с определенной «рекламой» или аффилированным лицом программы-вымогателя.
В целом, следующее количество мастер-ключей дешифрования RSA-2048, выпущенных на одну операцию программы-вымогателя:
Maze: 9 основных ключей дешифрования оригинального вредоносного ПО, нацеленного на некорпоративных пользователей.
Maze: 30 мастер-ключей дешифрования.
Egregor: 19 мастер-ключей дешифрования.
Sekhmet: 1 главный ключ дешифрования.
Майкл Гиллеспи и Фабиан Восар из Emsisoft проверили ключи дешифрования и подтвердили, что они законны и могут использоваться для дешифрования файлов, зашифрованных тремя семействами программ-вымогателей.
Гиллеспи сказал нам, что ключи используются для расшифровки зашифрованных ключей жертвы, которые встроены в записку о выкупе.
Выпущен бесплатный дешифратор для жертв TargetCompany Ransomware
Чешская компания Avast, занимающаяся программным обеспечением для кибербезопасности, выпустила утилиту для расшифровки, которая поможет жертвам программ-вымогателей TargetCompany бесплатно восстановить свои файлы.
Однако, как предупреждает Avast, этот дешифратор можно использовать для восстановления зашифрованных файлов только «при определенных обстоятельствах».
Жертвы, которые хотят восстановить свои файлы с помощью этого инструмента дешифрования, также должны знать, что это, вероятно, будет ресурсоемким и трудоемким процессом.
«Во время взлома пароля все доступные ядра процессора будут тратить большую часть своей вычислительной мощности на поиск пароля для расшифровки. Процесс взлома может занять много времени, вплоть до десятков часов», — сказал Avast.
Жертвы TargetCompany Ransomware могут загрузить инструмент дешифрования с серверов Avast (64-разрядных или 32-разрядных), чтобы расшифровать целые разделы диска, используя инструкции, отображаемые в пользовательском интерфейсе инструмента.
Угроза, стоящая за менее известной программой-вымогателем AstraLocker, сообщила BleepingComputer, что они сворачивают операцию и планируют переключиться на криптоджекинг.
BleepingComputer загрузил архив и подтвердил, что дешифраторы являются законными и работают после тестирования одного из них на файлах, зашифрованных в недавней кампании AstroLocker.
Хотя мы протестировали только один дешифратор, который успешно расшифровал файлы, заблокированные в одной кампании, другие дешифраторы в архиве, вероятно, предназначены для расшифровки файлов, зашифрованных в предыдущих кампаниях.
В настоящее время разрабатывается универсальный дешифратор для программы-вымогателя AstraLocker, который в будущем будет выпущен Emsisoft, компанией-разработчиком программного обеспечения, известной тем, что помогает жертвам программ-вымогателей расшифровывать данные.
Хотя это происходит не так часто, как хотелось бы, другие группы вымогателей предоставили ключи дешифрования и дешифраторы в качестве жеста доброй воли при закрытии или выпуске новых версий.
Список инструментов дешифрования, выпущенных в прошлом, включает Avaddon, Ragnarok, SynAck, TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy и FonixLocker.
История программы-вымогателя AstraLocker
Как недавно сообщила компания ReversingLabs, специализирующаяся на анализе угроз, AstraLocker использовал несколько неортодоксальный метод шифрования устройств своих жертв по сравнению с другими штаммами программ-вымогателей.
Вместо того, чтобы сначала скомпрометировать устройство (взломать его или купить доступ у других злоумышленников), оператор AstraLocker будет напрямую развертывать полезную нагрузку из вложений электронной почты, используя вредоносные документы Microsoft Word.
Приманки, используемые в атаках AstroLocker, представляют собой документы, скрывающие объект OLE с полезной нагрузкой программы-вымогателя, которая будет развернута после того, как цель нажмет «Выполнить» в диалоговом окне предупреждения, отображаемом при открытии документа.
Прежде чем шифровать файлы на скомпрометированном устройстве, программа-вымогатель проверит, запущено ли оно на виртуальной машине, завершит процессы и остановит службы резервного копирования и антивируса, которые могут помешать процессу шифрования.
Основываясь на анализе ReversingLabs, AstraLocker основан на просочившемся исходном коде программы-вымогателя Babuk Locker (Babyk), опасного штамма, который вышел из "игры" в сентябре 2021 года.
Кроме того, один из адресов кошелька Monero в примечании о выкупе AstraLocker также был связан с операторами программы-вымогателя Chaos.
Выпущен бесплатный дешифратор для жертв программ-вымогателей AstraLocker и Yashma
Новозеландская компания по кибербезопасности Emsisoft выпустила бесплатный инструмент дешифрования, который поможет жертвам программ-вымогателей AstraLocker и Yashma восстановить свои файлы без уплаты выкупа.
Бесплатный инструмент доступен для загрузки с серверов Emsisoft и позволяет восстанавливать зашифрованные файлы с помощью простых инструкций, приведенных в этом руководстве по использованию [PDF].
«Обязательно сначала изолируйте вредоносное ПО из вашей системы, иначе оно может повторно заблокировать вашу систему или зашифровать файлы», — предупредил Emsisoft.
«По умолчанию дешифратор предварительно заполняет места для расшифровки подключенными в данный момент дисками и сетевыми дисками. Дополнительные места можно добавить с помощью кнопки «Добавить».
Расшифровщик вымогателей позволит вам сохранить файлы, зашифрованные при атаке, как отказоустойчивые, если расшифрованные файлы не идентичны исходным документам.
«Расшифровщик AstraLocker предназначен для дешифратора на основе Babuk с расширением .Astra или .babyk, и они выпустили в общей сложности 8 ключей», — добавил Emsisoft.
«Расшифровщик Yashma предназначен для дешифратора на основе Chaos с использованием .AstraLocker или случайного расширения .[a-z0-9]{4}, и они выпустили в общей сложности 3 ключа».
Emsisoft также посоветовала жертвам AstraLocker и Yashma, чьи системы были скомпрометированы через удаленный рабочий стол Windows, изменить пароли для всех учетных записей пользователей, имеющих разрешение на удаленный вход, и искать другие локальные учетные записи, которые могли быть добавлены операторами программ-вымогателей.
Расшифровщик был выпущен после того, как злоумышленник, стоящий за программой-вымогателем AstraLocker, сообщил BleepingComputer на этой неделе, что они закрывают операцию с планом перехода на криптомайнинг.
Разработчик программы-вымогателя поделился ZIP-архивом с дешифраторами AstraLocker и Yashma, которые они отправили на платформу анализа вредоносных программ VirusTotal.
Несмотря на то, что они не раскрыли причину отключения AstraLocker, наиболее вероятной причиной стала внезапная огласка, вызванная недавними сообщениями, которые могли поставить операцию под прицел правоохранительных органов.
No More Ransom помогает миллионам жертв шифроваьщиков за 6 лет
Сегодня проект No More Ransom отмечает свою шестую годовщину после того, как помог миллионам жертв программ-вымогателей бесплатно восстановить свои файлы.
No More Ransom, запущенный в июле 2016 года, представляет собой онлайн-портал и государственно-частное партнерство, созданное правоохранительными органами (Европол и Национальная полиция Нидерландов) и компаниями, занимающимися информационной безопасностью (Kaspersky и McAffee).
Сегодня в проекте No More Ransom участвуют 188 партнеров по всему миру, включая BleepingComputer, присоединившегося к проекту в 2018 году.
Первоначально он предоставлял только четыре дешифратора программ-вымогателей, но теперь он вырос и содержит более 100 бесплатных инструментов дешифрования для десятков семейств программ-вымогателей.
«Шесть лет спустя No More Ransom предлагает 136 бесплатных инструментов для 165 вариантов программ-вымогателей, включая Gandcrab, REvil/Sodinokibi, Maze/Egregor/Sekhmet и другие», — заявил во вторник Европол.
За шесть лет с момента запуска инициатива предоставила более 10 миллионам человек бесплатные дешифраторы для восстановления своих файлов.
Как сообщил Европол в прошлом году, когда No More Ransom праздновал свою пятую годовщину, «это не позволило преступникам заработать почти миллиард евро на атаках программ-вымогателей».
Как это работает?
Цель No More Ransom — помочь жертвам программ-вымогателей восстановить их зашифрованные файлы, повысить осведомленность об угрозе атак программ-вымогателей и предоставить жертвам удобные ссылки для сообщения об атаках.
Инструмент Crypto Sheriff от No More Ransom поможет вам найти бесплатный дешифратор, загрузив два зашифрованных файла и заметку о программе-вымогателе, которая попытается сопоставить их со списком доступных инструментов.
Если он находит совпадение, он предоставляет подходящий расшифровщик программ-вымогателей для ваших зашифрованных файлов с подробными инструкциями по их разблокировке.
Если дешифратор не найден, вам будет рекомендовано еще раз проверить совпадение в будущем, поскольку новые инструменты разблокировки добавляются регулярно.
Европол также предоставляет видео о том, как использовать инструмент Crypto Sheriff для восстановления ваших файлов без уплаты выкупа.
Жертвам программ-вымогателей рекомендуется никогда не платить выкуп, потому что это непреднамеренно финансирует будущие атаки, а вместо этого принимать меры для предотвращения и уменьшения воздействия атак:
Регулярно создавайте резервные копии данных, хранящихся на ваших электронных устройствах.
Следите за своими кликами — знаете ли вы, куда вас приведет ссылка?
Не открывайте вложения в электронных письмах от неизвестных отправителей, даже если они выглядят важными и заслуживающими доверия.
Убедитесь, что ваше программное обеспечение безопасности и операционная система обновлены.
Используйте двухфакторную аутентификацию (2FA) для защиты ваших учетных записей пользователей.
Ограничьте возможность эксфильтрации больших объемов корпоративных данных на внешние порталы обмена файлами.
Если вы стали жертвой, не платите! Сообщите о преступлении и проверьте No More Ransom для инструментов расшифровки.
Bitdefender выпускает бесплатный дешифратор для LockerGoga
Румынская компания по кибербезопасности Bitdefender выпустила бесплатный дешифратор, который поможет жертвам программы-вымогателя LockerGoga восстановить свои файлы без уплаты выкупа.
Bitdefender утверждает, что дешифратор был разработан в сотрудничестве с правоохранительными органами, включая Европол, проект NoMoreRansom, прокуратуру Цюриха и кантональную полицию Цюриха.
Чтобы создать рабочий дешифратор, исследователям обычно необходимо выявить уязвимость в криптографии, используемой шифровальщиком-вымогателем.
Однако в этом случае операторы LockerGoga были арестованы в октябре 2021 года, что, возможно, позволило правоохранительным органам получить доступ к главным закрытым ключам, используемым для расшифровки ключей шифрования жертв.
Как расшифровать ваши файлы
Файлы, зашифрованные LockerGoga, будут иметь расширение имени файла «.locked» и не могут быть открыты с помощью обычного программного обеспечения.
Инструмент Bitdefender предлагает сканировать всю вашу файловую систему или отдельную папку, находить любые зашифрованные файлы и автоматически выполнять расшифровку.
Чтобы это работало, компьютер должен быть подключен к Интернету, а заметки о выкупе, сгенерированные программой-вымогателем во время шифрования, должны находиться по исходным путям.
Bitdefender говорит, что дешифратор может работать как на одной машине, так и на целых сетях, зашифрованных LockerGoga.
Обратите внимание, что процесс расшифровки может быть прерван или не всегда работать должным образом, и вы можете получить поврежденные файлы. По этой причине в расшифровщике по умолчанию установлен флажок «резервные файлы», и пользователям рекомендуется оставить этот параметр включенным.
Операция по вымогательству LockerGoga началась в январе 2019 года и поразила известные цели, такие как французская инженерная фирма Altran Technologies и норвежский алюминиевый гигант Norsk Hydro.
Вместе с Ryuk и MegaCortex LockerGoga участвовала в атаках программ-вымогателей по меньшей мере на 1800 организаций по всему миру.
В октябре 2021 года двенадцать человек были арестованы в ходе международной правоохранительной операции за развертывание различных штаммов программ-вымогателей, включая LockerGoga.
«Его оператор, который находится под стражей с октября 2021 года в ожидании суда, является частью более крупной сети киберпреступников, которая использовала программы-вымогатели LockerGoga и MegaCortext для заражения более 1800 человек и учреждений в 71 стране, что нанесло предполагаемый ущерб в размере 104 миллионов долларов США». Bitdefender объясняет в объявлении о расшифровщике.
После ареста оператора злоумышленники перестали использовать программу-вымогатель LockerGoga, а исходный код программы-вымогателя никогда не публиковался.
Таким образом, этот дешифратор в основном предназначен для прошлых жертв, которые отказались платить выкуп и ждали, чтобы восстановить свои файлы бесплатно.
Национальная полиция Нидерландов в сотрудничестве с фирмой по кибербезопасности Responders.NU обманом заставила операторов DeadBolt передать 155 ключей дешифрования, подделав платежи за выкуп.
DeadBolt — это операция по вымогательству, активная с января и известная тем, что требует выкуп в размере 0,03 биткойна после шифрования тысяч устройств QNAP и Asustor Network Attached Storage (NAS) (20 000 по всему миру и не менее 1000 в Нидерландах, по данным голландской полиции).
После выплаты выкупа DeadBolt создает биткойн-транзакцию на тот же адрес биткойн-выкупа, содержащий ключ дешифрования для жертвы (ключ дешифрования можно найти в выводе транзакции OP_RETURN).
Когда жертва вводит этот ключ на экран примечания о выкупе, он преобразуется в хэш SHA256 и сравнивается с хэшем SHA256 ключа дешифрования жертвы и хэшем SHA256 главного ключа дешифрования DeadBolt.
Если ключ дешифрования совпадает с одним из хэшей SHA256, зашифрованные файлы на жестких дисках NAS будут расшифрованы.
«Полиция заплатила, получила ключи дешифрования, а затем отозвала платежи. Эти ключи позволяют снова разблокировать такие файлы, как ценные фотографии или администрацию, бесплатно для жертв», — говорится в пресс-релизе, опубликованном в пятницу.
Когда жертва платит выкуп оператору DeadBolt, оператор автоматически отправляет ключ дешифрования, когда обнаруживает транзакцию биткойнов с правильной суммой выкупа.
Однако ключ дешифрования отправляется немедленно, не дожидаясь подтверждения о том, что транзакция является законной.
Это позволило полиции Нидерландов и Responders.NU производить выплаты выкупа с низкой комиссией в то время, когда блокчейн Биткойн был сильно перегружен.
В октябре 2021 года двенадцать человек были арестованы в ходе международной правоохранительной операции против программ-вымогателей Dharma, MegaCortex и LockerGoga.
Эта группа была ответственна за примерно 1800 атак, в основном нацеленных на компании. Вслед за дешифратором LockerGoga BitDefender выпускает универсальный инструмент для заражения MegaCortex.
Важное примечание. Жертвы с данными, зашифрованными версиями 2–4, должны иметь примечание о выкупе (например, «!!READ_ME!!!.TXT», «!-!README!-!.RTF» и т. д.). Для расшифровки MegaCortex V1 (зашифрованные файлы имеют добавленное расширение «.aes128ctr») требуется наличие записи о выкупе и файла журнала TSV (например, «fracxidg.tsv»), созданного программой-вымогателем.
Если MegaCortex затронул вас или вашу компанию, теперь вы можете бесплатно восстановить свои файлы с помощью приведенного ниже инструмента. У нас есть пошаговое руководство по работе с дешифратором как в однокомпьютерном, так и в сетевом режиме.
Получен бесплатный дешифратор для модифицированного Conti (MeowCorp)
Инструмент для расшифровки модифицированной версии программы-вымогателя Conti может помочь сотням жертв бесплатно восстановить свои файлы.
Утилита работает с данными, зашифрованными штаммом вымогателя, появившимся после утечки исходного кода Conti в марте прошлого года.
Исследователи из компании по кибербезопасности Kaspersky обнаружили утечку на форуме, где злоумышленники опубликовали кэш из 258 закрытых ключей от модифицированной версии программы-вымогателя Conti.
Этот вариант использовался в атаках на различные частные и общественные организации за последний год группой вымогателей, которую некоторые исследователи отслеживают как MeowCorp.
Исследователь программ-вымогателей Amigo-A рассказал BleepingComputer, что злоумышленники опубликовали данные на русскоязычном форуме в феврале 2023 года, которые содержали ссылку на архив, содержащий ключи дешифрования, исполняемые файлы дешифратора и исходный код дешифратора.
Закрытые ключи были созданы в период с 13 ноября 2022 г. по 9 февраля 2023 г., что является хорошим показателем хронологии атак.
«Лаборатория Касперского» добавила код дешифрования и 258 закрытых ключей в свой RakhniDecryptor.
Согласно «Лаборатории Касперского», дешифратор может восстанавливать файлы, зашифрованные модифицированным вариантом Conti, в котором использовались следующие шаблоны имен и расширения:
Проведенный Avast анализ схемы шифрования Akira подтверждает предыдущие отчеты о том, что вредоносное ПО использует симметричный ключ, сгенерированный CryptGenRandom, который затем шифруется с помощью связанного открытого ключа RSA-4096 и добавляется в конец зашифрованного файла.
Поскольку субъекты угрозы — единственные, кто владеет закрытым ключом дешифрования RSA, это должно было помешать кому-либо еще расшифровать файлы без предварительной уплаты выкупа.
Avast выпустила две версии своего программного обеспечения для расшифровки Akira: одну для 64-битной и одну для 32-битной архитектуры Windows.
Комментарии
Kaseya получил универсальный дешифратор, который позволяет жертвам атаки вымогателя REvil от 2 июля восстанавливать свои файлы.
Вскоре после этого REvil таинственным образом исчезла, а злоумышленники закрыли свои платежные сайты и инфраструктуру.
Сегодня Kaseya заявила, что они получили универсальный дешифратор для атаки программ-вымогателей от «доверенной третьей стороны» и теперь распространяют его среди пострадавших клиентов.
«Мы можем подтвердить, что получили дешифратор от доверенной третьей стороны, но больше не можем делиться информацией об источнике», - сказала BleepingComputer Дана Лидхольм, старший вице-президент по корпоративному маркетингу Kaseya.
«У нас есть инструмент, проверенный дополнительной третьей стороной, и мы начали выпускать его среди затронутых нами клиентов».
Хотя Kaseya не стал делиться информацией об источнике ключа, они подтвердили, что это универсальный ключ дешифрования для всей атаки, позволяющий всем MSP и их клиентам бесплатно дешифровать файлы.
Технический директор Emsisoft Фабиан Восар сказал BleepingComputer, что они были третьей стороной, которая проверила ключ и продолжит помогать Kaseya в их усилиях по восстановлению.
https://www.bleepingcomputer.com/news/security/kaseya-obtains-universal-decryptor-for-revil-ransomware-victims/
Группа SynAck выпустила главные ключи дешифрования для своей работы после ребрендинга в новую группу El_Cometa.
Сегодня SynAck выпустила мастер-ключи, дешифратор и руководство по использованию мастер-ключей и поделилась ими на своем сайте утечки данных.
После получения ключей Майкл Гиллеспи подтвердил, что ключи являются законными и сообщил, что будет дешифратор SynAck, чтобы жертвы могли бесплатно восстановить свои файлы.
Технический директор Emsisoft Фабиан Восар сообщил, что архив содержит в общей сложности шестнадцать главных ключей дешифрования.
https://www.bleepingcomputer.com/news/security/synack-ransomware-releases-decryption-keys-after-el-cometa-rebrand/
upd:1:
активность:
https://www.bleepingcomputer.com/news/security/synack-ransomware-sees-huge-spike-in-activity/
upd:2:
Целевая вымогательская кампания SynAck использует технику Doppelgänging
https://securelist.ru/synack-targeted-ransomware-uses-the-doppelganging-technique/89900/
Upd:3:
Emsisoft выпустила дешифратор для программы-вымогателя SynAck, позволяющий жертвам бесплатно расшифровывать свои зашифрованные файлы.
SynAck начала свою деятельность в 2017 году, но в 2021 году была переименована в El_Cometa.
https://www.bleepingcomputer.com/news/security/synack-ransomware-decryptor-lets-victims-recover-files-for-free/
Update4: тестирование работы дешифратора:
Похоже, что Ragnarok объявила о закрытии и выпустила главный ключ, который может расшифровать файлы, заблокированные их вредоносным ПО.
Злоумышленник не оставил записки с объяснением этого шага и внезапно заменил всех жертв на их сайте утечки короткой инструкцией о том, как расшифровать файлы.
Эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что выпущенный сегодня дешифратор Ragnarok содержит главный ключ дешифрования.
Универсальный дешифратор для программы-вымогателя Ragnarok в настоящее время находится в разработке и вскоре будет выпущен компанией Emsisoft, известной своей помощью в расшифровке данных жертвам программ-вымогателей.
Ragnarok существует по крайней мере с января 2020 года и заявила о десятках жертв после того, как в прошлом году попала в заголовки об использовании уязвимости Citrix ADC.
Ragnarok - не единственная кибергруппа, выпустившая ключ дешифрования в этом году
Ziggy прекратила работу в феврале, и ее оператор поделился файлом с 922 ключами
В мае Conti предоставил ВШЭ Ирландии бесплатный дешифратор.
Avaddon закрылась в июне и выпустила ключи дешифрования
SynAck, переименованная в El_Cometa, выпустила главные ключи дешифрования как часть этого перехода
https://www.bleepingcomputer.com/news/security/ragnarok-ransomware-releases-master-decryptor-after-shutdown/
https://id-ransomware.blogspot.com/2020/01/ragnarok-ransomware.html
update: дешифратор:
upd:2:
пока не удалось протестировать дешифратор. "молчит" после запуска, малоинформативный. файл key.ini пересоздается после запуска decode_deviceID.exe. в key.ini сохраняется сессионный ключ и вектор инициализации. EXT для расшифровки необх указывать самостоятельно.
upd:3:
[27 августа 2021 г.] - Версия: 1.0.0.0
Emsisoft Decryptor для Ragnarok
Программа-вымогатель Ragnarok шифрует файлы жертвы с помощью AES-256 и RSA-4096, добавляя расширение «..thor» или «..hela».
Чтобы расшифровать ваши файлы, вам нужно будет предоставить дешифратору записку с требованием выкупа.
https://www.emsisoft.com/ransomware-decryption-tools/ragnarok
p.s. *.rgrk тоже не расшифровывается
Bitdefender не смог поделиться подробностями о том, как они получили главный ключ дешифрования или о задействованных правоохранительных органах, они сообщили BleepingComputer, что он работает
«Согласно нашему сообщению в блоге, мы получили ключи от надежного партнера из правоохранительных органов, и, к сожалению, это единственная информация, которую мы вправе раскрыть прямо сейчас», - сказал BleepingComputer директор по исследованию угроз и отчетности Bitdefender Богдан Ботезату.
«Как только расследование продвинется и подойдет к концу, после утверждения будут предложены дальнейшие подробности».
Жертвы программы-вымогателя REvil могут загрузить мастер-дешифратор из Bitdefender (инструкции) и расшифровать полностью компьютер сразу или указать определенные папки для дешифрования.
Чтобы протестировать дешифратор, BleepingComputer зашифровал виртуальную машину с помощью образца REvil, который использовался в атаке в начале этого года. После шифрования наших файлов мы могли бы использовать дешифратор Bitdefender, чтобы легко восстановить наши файлы, как показано ниже.
https://www.bleepingcomputer.com/news/security/free-revil-ransomware-master-decrypter-released-for-past-victims/
upd:1 да, работает расшифровка по другим случаям, отличным от Kassya, в том числе и по файлам для Кассии. (собственно, расшифровываются практически все варианты, до апреля 2019 года)
upd:2 с учетом комментария Ф.Восара: возможно, инструмент расшифровки будет обновлен в ближайшее время
upd:3
Ф.Восар:
upd:4 BitDefender очень внимательны к замечаниям и исправлениям дешифраторов.
теперь расшифровка возможна и для раннего формата записок о выкупе.
Выпущен бесплатный дешифратор к BlackByte, позволяющий жертвам восстанавливать свои файлы бесплатно.
При запуске большинство программ-вымогателей генерируют уникальный ключ шифрования для каждого файла или один ключ для каждой машины, известный как ключи сеанса, используемые для шифрования устройства жертвы.
Затем эти ключи шифруются открытым ключом RSA и добавляются в конец зашифрованного файла или записки о выкупе. Этот зашифрованный ключ теперь может быть расшифрован только связанным частным ключом дешифрования, известным только операторам вымогателя.
Это позволяет злоумышленникам расшифровать зашифрованные ключи, когда жертва платит выкуп.
BlackByte повторно использовал ключи шифрования
В отчете Trustwave исследователи объясняют, что программа-вымогатель загружала файл под названием forest.png с удаленного сайта, находящегося под их контролем. Хотя этот файл назван так, чтобы отображаться как файл изображения, на самом деле он содержит ключ шифрования AES, используемый для шифрования устройства.
Поскольку BlackByte использует симметричное шифрование AES, для шифрования и дешифрования файлов используется один и тот же ключ.
В то время как BlackByte также шифрует этот загруженный ключ шифрования AES и добавляет его в записку о выкупе, Trustwave обнаружила, что кибергруппа повторно использовала один и тот же файл forest.png для нескольких жертв.
Поскольку один и тот же «необработанный» ключ шифрования использовался повторно, Trustwave могла использовать этот ключ для создания дешифратора, который бесплатно восстанавливает файлы жертвы.
Однако при выпуске таких бесплатных дешифраторов всегда есть недостатки, поскольку они предупреждают злоумышленников об ошибках в их программах и быстро исправляются.
Отчет Trustwave и дешифратор не остались незамеченными злоумышленниками, которые предупредили, что они использовали более одного ключа и что использование дешифратора с неправильным ключом может повредить файлы жертвы.
Если вы являетесь жертвой BlackByte и хотите использовать дешифратор Trustwave, вам нужно будет загрузить исходный код с Github и скомпилировать его самостоятельно.
Хотя Trustwave включил файл по умолчанию forest.png, который будет использоваться для извлечения ключа дешифрования, возможно, BlackByte произвел ротацию ключей шифрования, загруженных в этот файл.
В связи с этим настоятельно рекомендуется создавать резервные копии файлов, прежде чем пытаться их расшифровать.
Кроме того, если у вас есть файл forest.png на зашифрованном устройстве, вам следует использовать этот файл, а не тот, который поставляется с дешифратором Trustwave.
Кто такой BlackByte?
BlackByte - это программа-вымогатель, которая постепенно начала нацеливаться на корпоративных жертв по всему миру в начале июля 2021 года.
Первые сообщения о программе-вымогателе появились примерно через неделю на форумах BleepingComputer после того, как жертвы обратились за помощью в расшифровке своих файлов.
Написанный на C #, BlackByte будет пытаться завершить многочисленные процессы безопасности, почтового сервера и базы данных, чтобы успешно зашифровать устройство.
Программа-вымогатель также попытается отключить Microsoft Defender на целевых устройствах перед попыткой шифрования.
Хотя BlackByte не так активен, как другие программы-вымогатели, они успешно провели множество атак по всему миру, и их нельзя игнорировать.
https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-decryptor-released-to-recover-files-for-free/
Чешская компания по разработке программного обеспечения для кибербезопасности Avast создала и выпустила инструмент для дешифрования, чтобы помочь жертвам программы-вымогателя Babuk бесплатно восстановить свои файлы.
По данным Avast Threat Labs, дешифратор Babuk был создан с использованием утекшего исходного кода и ключей дешифрования.
Бесплатный дешифратор может использоваться жертвами Бабука, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
Судя по тестам BleepingComputer, этот дешифратор, скорее всего, будет работать только для жертв, ключи которых были утекли как часть дампа исходного кода Бабука.
Утечка программ-вымогателей и ключей дешифрования
Полный исходный код вымогателя Бабука был просочился на русскоязычный хакерский форум в прошлом месяце злоумышленником, который заявил, что является членом группы вымогателей.
Общий архив содержал различные проекты вымогателей Visual Studio Babuk для шифровальщиков VMware ESXi, NAS и Windows, а папка Windows содержала полный исходный код шифровальщика, дешифратора Windows и то, что выглядело как генераторы закрытых и открытых ключей.
В утечку также были включены шифровальщики и дешифраторы, скомпилированные для конкретных жертв.
После утечки технический директор Emsisoft и эксперт по программам-вымогателям Фабиан Восар сообщил BleepingComputer, что исходный код является законным и что архив также может содержать ключи дешифрования для прошлых жертв.
Мутная история Бабука
Babuk Locker, также известный как Babyk and Babuk, - это программа-вымогатель, запущенная в начале 2021 года, когда она начала нацеливаться на компании с целью кражи и шифрования их данных в рамках атак с двойным вымогательством.
После нападения на Департамент столичной полиции Вашингтона, округ Колумбия, они приземлились под прицелом правоохранительных органов США и заявили, что прекратили свою деятельность.
После этой атаки «Админ» кибергруппы якобы хотел опубликовать украденные данные MPD в Интернете для огласки, в то время как другие члены были против.
После этого члены Babuk разделились: первоначальный администратор запустил форум по борьбе с киберпреступностью Ramp, а другие перезапустили программу-вымогатель под именем Babuk V2, продолжая с тех пор нацеливать и шифровать жертв.
https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/
Avast только что выпустил инструмент дешифрования, который поможет жертвам программ-вымогателей AtomSilo и LockFile бесплатно восстановить некоторые из своих файлов без необходимости платить выкуп.
Ранее сегодня Avast выпустил еще один инструмент дешифрования, чтобы помочь жертвам вымогателей Babuk бесплатно восстановить свои файлы.
Как объяснила чешская компания, занимающаяся разработкой программного обеспечения для кибербезопасности, этот дешифратор, возможно, не сможет расшифровать файлы с неизвестным, проприетарным форматом или вообще без формата.
«Во время процесса дешифрования дешифратор Avast AtomSilo полагается на известный формат файла, чтобы убедиться, что файл был успешно расшифрован. По этой причине некоторые файлы не могут быть расшифрованы», - заявили в группе аналитики угроз Avast.
Декриптор работает с обоими штаммами вымогателей, потому что они очень похожи, хотя группы, развертывающие их в сетях жертв, используют разные тактики атаки.
В Avast Threat Labs заявили, что этот расшифровщик вымогателей был создан в сотрудничестве с аналитиком вредоносных программ RE - CERT Jiří Vinopal, который в начале этого месяца обнаружил уязвимость в программе-вымогателе AtomSilo.
BleepingComputer протестировал инструмент и восстановил файлы, зашифрованные с помощью образца Atom Silo, с помощью бесплатного дешифратора Avast.
Операция вымогателя LockFile была впервые замечена в июле 2021 года после того, как кибергруппа была замечена в захвате доменов Windows и шифровальных устройств после эксплуатации серверов, на которых не было исправлено уязвимостей ProxyShell и PetitPotam.
При шифровании файлов программа-вымогатель LockFile добавит расширение .lockfile к именам зашифрованных файлов и оставит заметки о выкупе с именами в формате '[имя_ жертвы] -LOCKFILE-README.hta'.
Особый интерес вызывает то, что цветовая схема LockFile и макет записки с требованием выкупа очень похожи на программу-вымогатель LockBit. Однако, похоже, нет никакой связи между двумя группами.
Atom Silo - это недавно обнаруженная кибергруппа, операторы которой недавно нацелились на серверы Confluence Server и Data Center, уязвимые перед исправленной и активно эксплуатируемой ошибкой.
По словам исследователей SophosLabs, программа-вымогатель, используемая Atom Silo, практически идентична LockFile.
Однако операторы Atom Silo используют новые методы, которые чрезвычайно затрудняют расследование их атак, включая загрузку вредоносных динамически подключаемых библиотек, которые нарушают работу решений защиты конечных точек.
https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-atom-silo-and-lockfile-ransomware/
Программа-вымогатель Maze начала работать в мае 2019 года и быстро приобрела известность, поскольку она была ответственна за использование тактики кражи данных и двойного вымогательства, которая теперь используется во многих операциях с программами-вымогателями.
После того, как Maze объявили о своем закрытии в октябре 2020 года, в сентябре они были переименованы в Egregor, который позже исчез после ареста участников в Украине.
Sekhmet была чем-то вроде исключения, поскольку она была запущена в марте 2020 года, когда «Лабиринт» все еще был активен.
Выпущены мастер-ключи дешифрования
Спустя 14 месяцев ключи дешифрования для этих операций просочились на форумы BleepingComputer пользователем по имени «Topleak», который утверждает, что является разработчиком всех трех операций.
На плакате говорилось, что это была спланированная утечка и она не связана с недавними операциями правоохранительных органов, которые привели к захвату серверов и арестам аффилированных лиц вымогателей.
«Поскольку это вызовет слишком много улик, и большинство из них будут ложными, необходимо подчеркнуть, что это запланированная утечка, и она не имеет никакого отношения к недавним арестам и ликвидации», — пояснил предполагаемый разработчик программы-вымогателя.
Они также заявили, что ни один из членов их команды никогда не вернется к программе-вымогателю и что они уничтожили весь исходный код своей программы-вымогателя.
Пост включает ссылку для загрузки файла 7zip с четырьмя архивами, содержащими ключи дешифрования Maze, Egregor и Sekhmet, а также исходный код вредоносного ПО M0yv.
Каждый из этих архивов содержит общедоступный мастер-ключ шифрования и закрытый мастер-ключ дешифрования, связанный с определенной «рекламой» или аффилированным лицом программы-вымогателя.
В целом, следующее количество мастер-ключей дешифрования RSA-2048, выпущенных на одну операцию программы-вымогателя:
Maze: 9 основных ключей дешифрования оригинального вредоносного ПО, нацеленного на некорпоративных пользователей.
Maze: 30 мастер-ключей дешифрования.
Egregor: 19 мастер-ключей дешифрования.
Sekhmet: 1 главный ключ дешифрования.
Майкл Гиллеспи и Фабиан Восар из Emsisoft проверили ключи дешифрования и подтвердили, что они законны и могут использоваться для дешифрования файлов, зашифрованных тремя семействами программ-вымогателей.
Гиллеспи сказал нам, что ключи используются для расшифровки зашифрованных ключей жертвы, которые встроены в записку о выкупе.
Компания Emsisoft выпустила дешифратор, позволяющий любым жертвам Maze, Egregor и Sekhmet, которые ждали, восстановить свои файлы бесплатно.
Чтобы использовать дешифратор, жертвам потребуется записка о выкупе, созданная во время атаки, поскольку она содержит зашифрованный ключ дешифрования.
https://www.bleepingcomputer.com/news/security/ransomware-dev-releases-egregor-maze-master-decryption-keys/
Чешская компания Avast, занимающаяся программным обеспечением для кибербезопасности, выпустила утилиту для расшифровки, которая поможет жертвам программ-вымогателей TargetCompany бесплатно восстановить свои файлы.
Однако, как предупреждает Avast, этот дешифратор можно использовать для восстановления зашифрованных файлов только «при определенных обстоятельствах».
Жертвы, которые хотят восстановить свои файлы с помощью этого инструмента дешифрования, также должны знать, что это, вероятно, будет ресурсоемким и трудоемким процессом.
«Во время взлома пароля все доступные ядра процессора будут тратить большую часть своей вычислительной мощности на поиск пароля для расшифровки. Процесс взлома может занять много времени, вплоть до десятков часов», — сказал Avast.
Жертвы TargetCompany Ransomware могут загрузить инструмент дешифрования с серверов Avast (64-разрядных или 32-разрядных), чтобы расшифровать целые разделы диска, используя инструкции, отображаемые в пользовательском интерфейсе инструмента.
https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-targetcompany-ransomware-victims/
Угроза, стоящая за менее известной программой-вымогателем AstraLocker, сообщила BleepingComputer, что они сворачивают операцию и планируют переключиться на криптоджекинг.
Разработчик программы-вымогателя отправил ZIP-архив с дешифраторами AstraLocker на платформу анализа вредоносных программ VirusTotal.
BleepingComputer загрузил архив и подтвердил, что дешифраторы являются законными и работают после тестирования одного из них на файлах, зашифрованных в недавней кампании AstroLocker.
Хотя мы протестировали только один дешифратор, который успешно расшифровал файлы, заблокированные в одной кампании, другие дешифраторы в архиве, вероятно, предназначены для расшифровки файлов, зашифрованных в предыдущих кампаниях.
В настоящее время разрабатывается универсальный дешифратор для программы-вымогателя AstraLocker, который в будущем будет выпущен Emsisoft, компанией-разработчиком программного обеспечения, известной тем, что помогает жертвам программ-вымогателей расшифровывать данные.
Хотя это происходит не так часто, как хотелось бы, другие группы вымогателей предоставили ключи дешифрования и дешифраторы в качестве жеста доброй воли при закрытии или выпуске новых версий.
История программы-вымогателя AstraLocker
Как недавно сообщила компания ReversingLabs, специализирующаяся на анализе угроз, AstraLocker использовал несколько неортодоксальный метод шифрования устройств своих жертв по сравнению с другими штаммами программ-вымогателей.
Вместо того, чтобы сначала скомпрометировать устройство (взломать его или купить доступ у других злоумышленников), оператор AstraLocker будет напрямую развертывать полезную нагрузку из вложений электронной почты, используя вредоносные документы Microsoft Word.
Прежде чем шифровать файлы на скомпрометированном устройстве, программа-вымогатель проверит, запущено ли оно на виртуальной машине, завершит процессы и остановит службы резервного копирования и антивируса, которые могут помешать процессу шифрования.
Основываясь на анализе ReversingLabs, AstraLocker основан на просочившемся исходном коде программы-вымогателя Babuk Locker (Babyk), опасного штамма, который вышел из "игры" в сентябре 2021 года.
Кроме того, один из адресов кошелька Monero в примечании о выкупе AstraLocker также был связан с операторами программы-вымогателя Chaos.
https://www.bleepingcomputer.com/news/security/astralocker-ransomware-shuts-down-and-releases-decryptors/
Новозеландская компания по кибербезопасности Emsisoft выпустила бесплатный инструмент дешифрования, который поможет жертвам программ-вымогателей AstraLocker и Yashma восстановить свои файлы без уплаты выкупа.
Бесплатный инструмент доступен для загрузки с серверов Emsisoft и позволяет восстанавливать зашифрованные файлы с помощью простых инструкций, приведенных в этом руководстве по использованию [PDF].
«Обязательно сначала изолируйте вредоносное ПО из вашей системы, иначе оно может повторно заблокировать вашу систему или зашифровать файлы», — предупредил Emsisoft.
«По умолчанию дешифратор предварительно заполняет места для расшифровки подключенными в данный момент дисками и сетевыми дисками. Дополнительные места можно добавить с помощью кнопки «Добавить».
Расшифровщик вымогателей позволит вам сохранить файлы, зашифрованные при атаке, как отказоустойчивые, если расшифрованные файлы не идентичны исходным документам.
«Расшифровщик AstraLocker предназначен для дешифратора на основе Babuk с расширением .Astra или .babyk, и они выпустили в общей сложности 8 ключей», — добавил Emsisoft.
«Расшифровщик Yashma предназначен для дешифратора на основе Chaos с использованием .AstraLocker или случайного расширения .[a-z0-9]{4}, и они выпустили в общей сложности 3 ключа».
Emsisoft также посоветовала жертвам AstraLocker и Yashma, чьи системы были скомпрометированы через удаленный рабочий стол Windows, изменить пароли для всех учетных записей пользователей, имеющих разрешение на удаленный вход, и искать другие локальные учетные записи, которые могли быть добавлены операторами программ-вымогателей.
Расшифровщик был выпущен после того, как злоумышленник, стоящий за программой-вымогателем AstraLocker, сообщил BleepingComputer на этой неделе, что они закрывают операцию с планом перехода на криптомайнинг.
Разработчик программы-вымогателя поделился ZIP-архивом с дешифраторами AstraLocker и Yashma, которые они отправили на платформу анализа вредоносных программ VirusTotal.
Несмотря на то, что они не раскрыли причину отключения AstraLocker, наиболее вероятной причиной стала внезапная огласка, вызванная недавними сообщениями, которые могли поставить операцию под прицел правоохранительных органов.
https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-astralocker-yashma-ransomware-victims
Сегодня проект No More Ransom отмечает свою шестую годовщину после того, как помог миллионам жертв программ-вымогателей бесплатно восстановить свои файлы.
No More Ransom, запущенный в июле 2016 года, представляет собой онлайн-портал и государственно-частное партнерство, созданное правоохранительными органами (Европол и Национальная полиция Нидерландов) и компаниями, занимающимися информационной безопасностью (Kaspersky и McAffee).
Сегодня в проекте No More Ransom участвуют 188 партнеров по всему миру, включая BleepingComputer, присоединившегося к проекту в 2018 году.
Первоначально он предоставлял только четыре дешифратора программ-вымогателей, но теперь он вырос и содержит более 100 бесплатных инструментов дешифрования для десятков семейств программ-вымогателей.
«Шесть лет спустя No More Ransom предлагает 136 бесплатных инструментов для 165 вариантов программ-вымогателей, включая Gandcrab, REvil/Sodinokibi, Maze/Egregor/Sekhmet и другие», — заявил во вторник Европол.
За шесть лет с момента запуска инициатива предоставила более 10 миллионам человек бесплатные дешифраторы для восстановления своих файлов.
Как сообщил Европол в прошлом году, когда No More Ransom праздновал свою пятую годовщину, «это не позволило преступникам заработать почти миллиард евро на атаках программ-вымогателей».
Как это работает?
Цель No More Ransom — помочь жертвам программ-вымогателей восстановить их зашифрованные файлы, повысить осведомленность об угрозе атак программ-вымогателей и предоставить жертвам удобные ссылки для сообщения об атаках.
Инструмент Crypto Sheriff от No More Ransom поможет вам найти бесплатный дешифратор, загрузив два зашифрованных файла и заметку о программе-вымогателе, которая попытается сопоставить их со списком доступных инструментов.
Если он находит совпадение, он предоставляет подходящий расшифровщик программ-вымогателей для ваших зашифрованных файлов с подробными инструкциями по их разблокировке.
Если дешифратор не найден, вам будет рекомендовано еще раз проверить совпадение в будущем, поскольку новые инструменты разблокировки добавляются регулярно.
Европол также предоставляет видео о том, как использовать инструмент Crypto Sheriff для восстановления ваших файлов без уплаты выкупа.
Жертвам программ-вымогателей рекомендуется никогда не платить выкуп, потому что это непреднамеренно финансирует будущие атаки, а вместо этого принимать меры для предотвращения и уменьшения воздействия атак:
https://www.bleepingcomputer.com/news/security/no-more-ransom-helps-millions-of-ransomware-victims-in-6-years/
Румынская компания по кибербезопасности Bitdefender выпустила бесплатный дешифратор, который поможет жертвам программы-вымогателя LockerGoga восстановить свои файлы без уплаты выкупа.
Бесплатный инструмент доступен для загрузки с серверов Bitdefender и позволяет восстанавливать зашифрованные файлы, следуя инструкциям в этом руководстве по использованию PDF.
Bitdefender утверждает, что дешифратор был разработан в сотрудничестве с правоохранительными органами, включая Европол, проект NoMoreRansom, прокуратуру Цюриха и кантональную полицию Цюриха.
Чтобы создать рабочий дешифратор, исследователям обычно необходимо выявить уязвимость в криптографии, используемой шифровальщиком-вымогателем.
Однако в этом случае операторы LockerGoga были арестованы в октябре 2021 года, что, возможно, позволило правоохранительным органам получить доступ к главным закрытым ключам, используемым для расшифровки ключей шифрования жертв.
Как расшифровать ваши файлы
Файлы, зашифрованные LockerGoga, будут иметь расширение имени файла «.locked» и не могут быть открыты с помощью обычного программного обеспечения.
Инструмент Bitdefender предлагает сканировать всю вашу файловую систему или отдельную папку, находить любые зашифрованные файлы и автоматически выполнять расшифровку.
Чтобы это работало, компьютер должен быть подключен к Интернету, а заметки о выкупе, сгенерированные программой-вымогателем во время шифрования, должны находиться по исходным путям.
Bitdefender говорит, что дешифратор может работать как на одной машине, так и на целых сетях, зашифрованных LockerGoga.
Обратите внимание, что процесс расшифровки может быть прерван или не всегда работать должным образом, и вы можете получить поврежденные файлы. По этой причине в расшифровщике по умолчанию установлен флажок «резервные файлы», и пользователям рекомендуется оставить этот параметр включенным.
Операция по вымогательству LockerGoga началась в январе 2019 года и поразила известные цели, такие как французская инженерная фирма Altran Technologies и норвежский алюминиевый гигант Norsk Hydro.
Вместе с Ryuk и MegaCortex LockerGoga участвовала в атаках программ-вымогателей по меньшей мере на 1800 организаций по всему миру.
В октябре 2021 года двенадцать человек были арестованы в ходе международной правоохранительной операции за развертывание различных штаммов программ-вымогателей, включая LockerGoga.
«Его оператор, который находится под стражей с октября 2021 года в ожидании суда, является частью более крупной сети киберпреступников, которая использовала программы-вымогатели LockerGoga и MegaCortext для заражения более 1800 человек и учреждений в 71 стране, что нанесло предполагаемый ущерб в размере 104 миллионов долларов США». Bitdefender объясняет в объявлении о расшифровщике.
После ареста оператора злоумышленники перестали использовать программу-вымогатель LockerGoga, а исходный код программы-вымогателя никогда не публиковался.
Таким образом, этот дешифратор в основном предназначен для прошлых жертв, которые отказались платить выкуп и ждали, чтобы восстановить свои файлы бесплатно.
https://www.bleepingcomputer.com/news/security/bitdefender-releases-free-decryptor-for-lockergoga-ransomware/
update:
[2022-09-17 07:57:49.0569681] [Debug] [Successfully identified the ransom note: G:/DATA/shifr/encode_files/LockerGoga/aar1_2021\README_LOCKED.txt]
[2022-09-17 07:57:49.0579682] [Debug] [Found an encrypted file for testing: G:/DATA/shifr/encode_files/LockerGoga/aar1_2021\branding.xml.locked]
[2022-09-17 07:57:49.0599683] [Debug] [Preparing to send the init request.]
[2022-09-17 07:57:50.7280637] [Debug] [Request sent.]
[2022-09-17 07:57:50.7290637] [Debug] [Initialization OK!]
[2022-09-17 07:57:50.7340640] [Debug] [Preparing to send the intermediate request.]
[2022-09-17 07:57:52.8391844] [Debug] [Request sent.]
[2022-09-17 07:57:52.8861871] [Debug] [Post initialization OK!]
[2022-09-17 07:57:52.8991879] [Info] [Full initialization completed successfully!]
[2022-09-17 07:57:52.9001879] [Info] [Scanning system...]
[2022-09-17 07:57:52.9031881] [Info] [Decrypting G:/DATA/shifr/encode_files/LockerGoga/aar1_2021\branding.xml.locked ...]
[2022-09-17 07:57:52.9241893] [Info] [Success!]
[2022-09-17 07:57:52.9251894] [Info] [Decrypting G:/DATA/shifr/encode_files/LockerGoga/aar1_2021\PowerPointMUI.xml.locked ...]
[2022-09-17 07:57:52.9461906] [Info] [Success!]
[2022-09-17 07:57:52.9471906] [Info] [Decrypting G:/DATA/shifr/encode_files/LockerGoga/aar1_2021\Proof.xml.locked ...]
[2022-09-17 07:57:52.9631915] [Info] [Success!]
[2022-09-17 07:57:52.9721920] [Info] [The decryption process has ended.]
[2022-09-17 07:57:52.9921932] [Info] [The threat is gone!]
[2022-09-17 07:57:53.0181947] [Debug] [3 files were decrypted.]
[2022-09-17 07:57:53.0191947] [Debug] [0 files could not be decrypted.]
[2022-09-17 07:57:53.0221949] [Debug] [0 files were identified as potentially encrypted, but skipped during decryption.]
[2022-09-17 07:57:53.0241950] [Debug] [Preparing to send the finish request.]
[2022-09-17 07:57:54.1422590] [Debug] [Request sent.]
DeadBolt — это операция по вымогательству, активная с января и известная тем, что требует выкуп в размере 0,03 биткойна после шифрования тысяч устройств QNAP и Asustor Network Attached Storage (NAS) (20 000 по всему миру и не менее 1000 в Нидерландах, по данным голландской полиции).
После выплаты выкупа DeadBolt создает биткойн-транзакцию на тот же адрес биткойн-выкупа, содержащий ключ дешифрования для жертвы (ключ дешифрования можно найти в выводе транзакции OP_RETURN).
Когда жертва вводит этот ключ на экран примечания о выкупе, он преобразуется в хэш SHA256 и сравнивается с хэшем SHA256 ключа дешифрования жертвы и хэшем SHA256 главного ключа дешифрования DeadBolt.
Если ключ дешифрования совпадает с одним из хэшей SHA256, зашифрованные файлы на жестких дисках NAS будут расшифрованы.
Когда жертва платит выкуп оператору DeadBolt, оператор автоматически отправляет ключ дешифрования, когда обнаруживает транзакцию биткойнов с правильной суммой выкупа.
Однако ключ дешифрования отправляется немедленно, не дожидаясь подтверждения о том, что транзакция является законной.
Это позволило полиции Нидерландов и Responders.NU производить выплаты выкупа с низкой комиссией в то время, когда блокчейн Биткойн был сильно перегружен.
https://www.bleepingcomputer.com/news/security/police-tricks-deadbolt-ransomware-out-of-155-decryption-keys/
Эта группа была ответственна за примерно 1800 атак, в основном нацеленных на компании. Вслед за дешифратором LockerGoga BitDefender выпускает универсальный инструмент для заражения MegaCortex.
Важное примечание. Жертвы с данными, зашифрованными версиями 2–4, должны иметь примечание о выкупе (например, «!!READ_ME!!!.TXT», «!-!README!-!.RTF» и т. д.). Для расшифровки MegaCortex V1 (зашифрованные файлы имеют добавленное расширение «.aes128ctr») требуется наличие записи о выкупе и файла журнала TSV (например, «fracxidg.tsv»), созданного программой-вымогателем.
https://www.bitdefender.com/blog/labs/bitdefender-partnership-with-law-enforcement-yields-megacortex-decryptor/
https://www.bleepingcomputer.com/news/security/bitdefender-releases-free-megacortex-ransomware-decryptor/
текущая версия 1.0.0.537
update4:
есть определенные ограничения по расшифровке файлов, связанные с некорректным шифрованием файлов данным типом шифровальщика:
Инструмент для расшифровки модифицированной версии программы-вымогателя Conti может помочь сотням жертв бесплатно восстановить свои файлы.
Утилита работает с данными, зашифрованными штаммом вымогателя, появившимся после утечки исходного кода Conti в марте прошлого года.
Исследователи из компании по кибербезопасности Kaspersky обнаружили утечку на форуме, где злоумышленники опубликовали кэш из 258 закрытых ключей от модифицированной версии программы-вымогателя Conti.
Этот вариант использовался в атаках на различные частные и общественные организации за последний год группой вымогателей, которую некоторые исследователи отслеживают как MeowCorp.
Исследователь программ-вымогателей Amigo-A рассказал BleepingComputer, что злоумышленники опубликовали данные на русскоязычном форуме в феврале 2023 года, которые содержали ссылку на архив, содержащий ключи дешифрования, исполняемые файлы дешифратора и исходный код дешифратора.
Закрытые ключи были созданы в период с 13 ноября 2022 г. по 9 февраля 2023 г., что является хорошим показателем хронологии атак.
«Лаборатория Касперского» добавила код дешифрования и 258 закрытых ключей в свой RakhniDecryptor.
Согласно «Лаборатории Касперского», дешифратор может восстанавливать файлы, зашифрованные модифицированным вариантом Conti, в котором использовались следующие шаблоны имен и расширения:
https://www.bleepingcomputer.com/news/security/conti-based-ransomware-meowcorp-gets-free-decryptor/
Avast выпустил дешифратор для модифицированного Conti.
Февраль 2022: произошла утечка данных #Conti #ransomware, мы создали дешифратор в надежде, что некоторые ключи будут выпущены. Но безрезультатно.
Март 2023: Опубликованы ключи #MeowCorp (клон Conti 2.0), мы выпустили расшифровщик Conti и надеемся, что появятся новые ключи
Поскольку субъекты угрозы — единственные, кто владеет закрытым ключом дешифрования RSA, это должно было помешать кому-либо еще расшифровать файлы без предварительной уплаты выкупа.
Avast выпустила две версии своего программного обеспечения для расшифровки Akira: одну для 64-битной и одну для 32-битной архитектуры Windows.
https://files.avast.com/files/decryptor/avast_decryptor_akira64.exe
https://files.avast.com/files/decryptor/avast_decryptor_akira.exe
«Очень важно выбрать пару файлов настолько больших размеров, насколько вы сможете найти», — предупреждает Avast.
https://www.bleepingcomputer.com/news/security/free-akira-ransomware-decryptor-helps-recover-your-files/