Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....

13»

Комментарии

  • отредактировано 19 сен PM
    Kaseya получила универсальный дешифратор для жертв вымогателя REvil

    Kaseya получил универсальный дешифратор, который позволяет жертвам атаки вымогателя REvil от 2 июля восстанавливать свои файлы.
    2 июля операция вымогателя REvil начала массовую атаку, используя уязвимость нулевого дня в приложении удаленного управления Kaseya VSA для шифрования примерно шестидесяти поставщиков управляемых услуг и примерно 1500 предприятий.

    После атаки злоумышленники потребовали 70 миллионов долларов за универсальный дешифратор, 5 миллионов долларов за MSP и 40 000 долларов за каждое расширение, зашифрованное в сети жертвы.

    Вскоре после этого REvil таинственным образом исчезла, а злоумышленники закрыли свои платежные сайты и инфраструктуру.

    Сегодня Kaseya заявила, что они получили универсальный дешифратор для атаки программ-вымогателей от «доверенной третьей стороны» и теперь распространяют его среди пострадавших клиентов.

    «Мы можем подтвердить, что получили дешифратор от доверенной третьей стороны, но больше не можем делиться информацией об источнике», - сказала BleepingComputer Дана Лидхольм, старший вице-президент по корпоративному маркетингу Kaseya.

    «У нас есть инструмент, проверенный дополнительной третьей стороной, и мы начали выпускать его среди затронутых нами клиентов».

    Хотя Kaseya не стал делиться информацией об источнике ключа, они подтвердили, что это универсальный ключ дешифрования для всей атаки, позволяющий всем MSP и их клиентам бесплатно дешифровать файлы.

    Технический директор Emsisoft Фабиан Восар сказал BleepingComputer, что они были третьей стороной, которая проверила ключ и продолжит помогать Kaseya в их усилиях по восстановлению.

    https://www.bleepingcomputer.com/news/security/kaseya-obtains-universal-decryptor-for-revil-ransomware-victims/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 18 сен PM
    SynAck Ransomware выпускает ключи дешифрования

    Группа SynAck выпустила главные ключи дешифрования для своей работы после ребрендинга в новую группу El_Cometa.

    Сегодня SynAck выпустила мастер-ключи, дешифратор и руководство по использованию мастер-ключей и поделилась ими на своем сайте утечки данных.

    После получения ключей Майкл Гиллеспи подтвердил, что ключи являются законными и сообщил, что будет дешифратор SynAck, чтобы жертвы могли бесплатно восстановить свои файлы.

    Технический директор Emsisoft Фабиан Восар сообщил, что архив содержит в общей сложности шестнадцать главных ключей дешифрования.

    https://www.bleepingcomputer.com/news/security/synack-ransomware-releases-decryption-keys-after-el-cometa-rebrand/

    upd:1:
    активность:
    Виден огромный всплеск активности SynAck

    По словам жертв, которые обращались за помощью на форумах поддержки программ-вымогателей Bleeping Computer и из сообщений в службу ID-Ransomware, за последние два дня возросла активность относительно неизвестного штамма вымогателя SynAck.

    Этот конкретный штамм вымогателя, названный SynAck или Syn Ack, был впервые обнаружен 3 августа (2017г), и эксперты быстро определили, что они рассматривают совершенно новый штамм вымогателя в целом.

    https://www.bleepingcomputer.com/news/security/synack-ransomware-sees-huge-spike-in-activity/
    upd:2:
    Целевая вымогательская кампания SynAck использует технику Doppelgänging
    программа-вымогатель SynAck, известная с сентября 2017 года (тогда это был обычный зловред, не отличавшийся особыми умом и сообразительностью), недавно прошла серьезную модернизацию. Теперь она научилась избегать обнаружения с невероятной эффективностью и использует новую технику маскировки процессов — клонирование.
    https://securelist.ru/synack-targeted-ransomware-uses-the-doppelganging-technique/89900/

    Upd:3:
    Emsisoft выпустила дешифратор для программы-вымогателя SynAck, позволяющий жертвам бесплатно расшифровывать свои зашифрованные файлы.



    SynAck начала свою деятельность в 2017 году, но в 2021 году была переименована в El_Cometa.

    https://www.bleepingcomputer.com/news/security/synack-ransomware-decryptor-lets-victims-recover-files-for-free/

    Update4: тестирование работы дешифратора:

    97hfy7865h2i.jpg

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 18 сен PM
    Ragnarok выпускает дешифратор с встроенным мастер-ключом после завершения работы

    Похоже, что Ragnarok объявила о закрытии и выпустила главный ключ, который может расшифровать файлы, заблокированные их вредоносным ПО.

    zlmra6r911ou.jpg

    Злоумышленник не оставил записки с объяснением этого шага и внезапно заменил всех жертв на их сайте утечки короткой инструкцией о том, как расшифровать файлы.

    dkhhc4jmici6.png

    Эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что выпущенный сегодня дешифратор Ragnarok содержит главный ключ дешифрования.

    Универсальный дешифратор для программы-вымогателя Ragnarok в настоящее время находится в разработке и вскоре будет выпущен компанией Emsisoft, известной своей помощью в расшифровке данных жертвам программ-вымогателей.

    Ragnarok существует по крайней мере с января 2020 года и заявила о десятках жертв после того, как в прошлом году попала в заголовки об использовании уязвимости Citrix ADC.

    Ragnarok - не единственная кибергруппа, выпустившая ключ дешифрования в этом году

    Ziggy прекратила работу в феврале, и ее оператор поделился файлом с 922 ключами
    В мае Conti предоставил ВШЭ Ирландии бесплатный дешифратор.
    Avaddon закрылась в июне и выпустила ключи дешифрования
    SynAck, переименованная в El_Cometa, выпустила главные ключи дешифрования как часть этого перехода

    https://www.bleepingcomputer.com/news/security/ragnarok-ransomware-releases-master-decryptor-after-shutdown/

    https://id-ransomware.blogspot.com/2020/01/ragnarok-ransomware.html

    update: дешифратор:

    zdsxvju1phup.jpg

    upd:2:

    пока не удалось протестировать дешифратор. "молчит" после запуска, малоинформативный. файл key.ini пересоздается после запуска decode_deviceID.exe. в key.ini сохраняется сессионный ключ и вектор инициализации. EXT для расшифровки необх указывать самостоятельно.

    z5czhnwkxql6.jpg

    upd:3:


    [27 августа 2021 г.] - Версия: 1.0.0.0
    Emsisoft Decryptor для Ragnarok

    Программа-вымогатель Ragnarok шифрует файлы жертвы с помощью AES-256 и RSA-4096, добавляя расширение «..thor» или «..hela».

    Чтобы расшифровать ваши файлы, вам нужно будет предоставить дешифратору записку с требованием выкупа.
    Обратите внимание, что из-за ошибки в более ранней вредоносной программе расширения «.ragnarok» и «.ragnarok_cry» в настоящее время не могут быть расшифрованы.

    https://www.emsisoft.com/ransomware-decryption-tools/ragnarok

    p.s. *.rgrk тоже не расшифровывается

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 4 окт PM
    Выпущен бесплатный главный дешифратор для REvil, позволяющий всем жертвам, зашифрованным до исчезновения кибергруппы, бесплатно восстанавливать свои файлы.

    Bitdefender не смог поделиться подробностями о том, как они получили главный ключ дешифрования или о задействованных правоохранительных органах, они сообщили BleepingComputer, что он работает
    для всех жертв REvil, зашифрованных до 13 июля.

    «Согласно нашему сообщению в блоге, мы получили ключи от надежного партнера из правоохранительных органов, и, к сожалению, это единственная информация, которую мы вправе раскрыть прямо сейчас», - сказал BleepingComputer директор по исследованию угроз и отчетности Bitdefender Богдан Ботезату.

    «Как только расследование продвинется и подойдет к концу, после утверждения будут предложены дальнейшие подробности».

    Жертвы программы-вымогателя REvil могут загрузить мастер-дешифратор из Bitdefender (инструкции) и расшифровать полностью компьютер сразу или указать определенные папки для дешифрования.

    Чтобы протестировать дешифратор, BleepingComputer зашифровал виртуальную машину с помощью образца REvil, который использовался в атаке в начале этого года. После шифрования наших файлов мы могли бы использовать дешифратор Bitdefender, чтобы легко восстановить наши файлы, как показано ниже.

    https://www.bleepingcomputer.com/news/security/free-revil-ransomware-master-decrypter-released-for-past-victims/

    upd:1 да, работает расшифровка по другим случаям, отличным от Kassya, в том числе и по файлам для Кассии. (собственно, расшифровываются практически все варианты, до апреля 2019 года)

    xgzx7pro87ba.jpg

    This utility decrypts files encrypted by REvil ransomware.
    This tool requires internet access!
    NOTE: Certain versions of REvil are not yet decryptable.

    Found the ransom note: Z:\test\revil\wy32wlj-readme.txt
    Sending init request.
    Done.
    Sending intermediate request.
    Done.

    Decrypt Files ...

    Decrypt [ 0] [G:\DATA\shifr\encode_files\Revil\SZ\kor_boot.ttf.wy32wlj] ... [OK]
    Decrypt [ 1] [G:\DATA\shifr\encode_files\Revil\SZ\memtest.exe.wy32wlj] ... [OK]
    Sending finish request.
    Done.

    Total decrypted files: [2]

    upd:2 с учетом комментария Ф.Восара:
    "REvil представил режим шифрования, который вызывает проблемы с инструментом дешифрования между 2020-01-15 и 2020-2-11. Основываясь на случаях, которые я обработал, и образцы, загруженные в VT с тех пор, я оцениваю, что от 10% до 15% всех жертв будут затронуты"
    возможно, инструмент расшифровки будет обновлен в ближайшее время

    upd:3
    Ф.Восар:
    "Похоже, Bitdefender обновил свой инструмент. Они не только изменили свои настройки по умолчанию, чтобы теперь создавать резервные копии, если они не отключены, но также добавили поддержку третьего режима шифрования REvil, представленного в начале 2020 года. Хорошая работа!:)"

    upd:4 BitDefender очень внимательны к замечаниям и исправлениям дешифраторов.
    теперь расшифровка возможна и для раннего формата записок о выкупе.
    Found the ransom note: G:\DATA\shifr\encode_files\Revil\app.any.run more\29.04.19\test\6d4q6r3o-HOW-TO-DECRYPT.txt
    Sending init request.
    ... Total decrypted files: [2]
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 20 окт PM
    Выпущен дешифратор к BlackByte для бесплатного восстановления файлов

    Выпущен бесплатный дешифратор к BlackByte, позволяющий жертвам восстанавливать свои файлы бесплатно.

    При запуске большинство программ-вымогателей генерируют уникальный ключ шифрования для каждого файла или один ключ для каждой машины, известный как ключи сеанса, используемые для шифрования устройства жертвы.

    Затем эти ключи шифруются открытым ключом RSA и добавляются в конец зашифрованного файла или записки о выкупе. Этот зашифрованный ключ теперь может быть расшифрован только связанным частным ключом дешифрования, известным только операторам вымогателя.

    Это позволяет злоумышленникам расшифровать зашифрованные ключи, когда жертва платит выкуп.

    BlackByte повторно использовал ключи шифрования

    В отчете Trustwave исследователи объясняют, что программа-вымогатель загружала файл под названием forest.png с удаленного сайта, находящегося под их контролем. Хотя этот файл назван так, чтобы отображаться как файл изображения, на самом деле он содержит ключ шифрования AES, используемый для шифрования устройства.

    Поскольку BlackByte использует симметричное шифрование AES, для шифрования и дешифрования файлов используется один и тот же ключ.

    В то время как BlackByte также шифрует этот загруженный ключ шифрования AES и добавляет его в записку о выкупе, Trustwave обнаружила, что кибергруппа повторно использовала один и тот же файл forest.png для нескольких жертв.

    Поскольку один и тот же «необработанный» ключ шифрования использовался повторно, Trustwave могла использовать этот ключ для создания дешифратора, который бесплатно восстанавливает файлы жертвы.

    Однако при выпуске таких бесплатных дешифраторов всегда есть недостатки, поскольку они предупреждают злоумышленников об ошибках в их программах и быстро исправляются.

    Отчет Trustwave и дешифратор не остались незамеченными злоумышленниками, которые предупредили, что они использовали более одного ключа и что использование дешифратора с неправильным ключом может повредить файлы жертвы.
    мы видели в некоторых местах, что есть расшифровка для нашего выкупа. Мы не рекомендуем вам использовать это. потому что мы не используем только 1 ключ. Если вы будете использовать неправильную расшифровку для своей системы, вы можете сломать все, и вы не сможете восстановить свою систему снова. Мы просто хотим предупредить вас, что если вы решите использовать это, вы делаете это на свой страх и риск ». - BlackByte.

    Если вы являетесь жертвой BlackByte и хотите использовать дешифратор Trustwave, вам нужно будет загрузить исходный код с Github и скомпилировать его самостоятельно.

    Хотя Trustwave включил файл по умолчанию forest.png, который будет использоваться для извлечения ключа дешифрования, возможно, BlackByte произвел ротацию ключей шифрования, загруженных в этот файл.

    В связи с этим настоятельно рекомендуется создавать резервные копии файлов, прежде чем пытаться их расшифровать.

    Кроме того, если у вас есть файл forest.png на зашифрованном устройстве, вам следует использовать этот файл, а не тот, который поставляется с дешифратором Trustwave.


    Кто такой BlackByte?

    BlackByte - это программа-вымогатель, которая постепенно начала нацеливаться на корпоративных жертв по всему миру в начале июля 2021 года.

    Первые сообщения о программе-вымогателе появились примерно через неделю на форумах BleepingComputer после того, как жертвы обратились за помощью в расшифровке своих файлов.

    blackbyte-ransom-note.jpg

    Написанный на C #, BlackByte будет пытаться завершить многочисленные процессы безопасности, почтового сервера и базы данных, чтобы успешно зашифровать устройство.

    Программа-вымогатель также попытается отключить Microsoft Defender на целевых устройствах перед попыткой шифрования.

    Хотя BlackByte не так активен, как другие программы-вымогатели, они успешно провели множество атак по всему миру, и их нельзя игнорировать.

    https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-decryptor-released-to-recover-files-for-free/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 29 окт PM
    Выпущен дешифратор к Babuk Ransomware для бесплатного восстановления файлов

    Чешская компания по разработке программного обеспечения для кибербезопасности Avast создала и выпустила инструмент для дешифрования, чтобы помочь жертвам программы-вымогателя Babuk бесплатно восстановить свои файлы.

    По данным Avast Threat Labs, дешифратор Babuk был создан с использованием утекшего исходного кода и ключей дешифрования.

    Бесплатный дешифратор может использоваться жертвами Бабука, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
    Жертвы программы-вымогателя Babuk могут загрузить инструмент дешифрования с серверов Avast и сразу расшифровать целые разделы, используя инструкции, отображаемые в пользовательском интерфейсе дешифратора.
    Судя по тестам BleepingComputer, этот дешифратор, скорее всего, будет работать только для жертв, ключи которых были утекли как часть дампа исходного кода Бабука.

    Утечка программ-вымогателей и ключей дешифрования

    Полный исходный код вымогателя Бабука был просочился на русскоязычный хакерский форум в прошлом месяце злоумышленником, который заявил, что является членом группы вымогателей.

    Общий архив содержал различные проекты вымогателей Visual Studio Babuk для шифровальщиков VMware ESXi, NAS и Windows, а папка Windows содержала полный исходный код шифровальщика, дешифратора Windows и то, что выглядело как генераторы закрытых и открытых ключей.

    В утечку также были включены шифровальщики и дешифраторы, скомпилированные для конкретных жертв.

    После утечки технический директор Emsisoft и эксперт по программам-вымогателям Фабиан Восар сообщил BleepingComputer, что исходный код является законным и что архив также может содержать ключи дешифрования для прошлых жертв.

    Мутная история Бабука

    Babuk Locker, также известный как Babyk and Babuk, - это программа-вымогатель, запущенная в начале 2021 года, когда она начала нацеливаться на компании с целью кражи и шифрования их данных в рамках атак с двойным вымогательством.

    После нападения на Департамент столичной полиции Вашингтона, округ Колумбия, они приземлились под прицелом правоохранительных органов США и заявили, что прекратили свою деятельность.

    После этой атаки «Админ» кибергруппы якобы хотел опубликовать украденные данные MPD в Интернете для огласки, в то время как другие члены были против.

    После этого члены Babuk разделились: первоначальный администратор запустил форум по борьбе с киберпреступностью Ramp, а другие перезапустили программу-вымогатель под именем Babuk V2, продолжая с тех пор нацеливать и шифровать жертв.

    https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 29 окт PM
    Выпущен бесплатный дешифратор для программ-вымогателей Atom Silo и LockFile

    Avast только что выпустил инструмент дешифрования, который поможет жертвам программ-вымогателей AtomSilo и LockFile бесплатно восстановить некоторые из своих файлов без необходимости платить выкуп.

    Ранее сегодня Avast выпустил еще один инструмент дешифрования, чтобы помочь жертвам вымогателей Babuk бесплатно восстановить свои файлы.

    Как объяснила чешская компания, занимающаяся разработкой программного обеспечения для кибербезопасности, этот дешифратор, возможно, не сможет расшифровать файлы с неизвестным, проприетарным форматом или вообще без формата.

    «Во время процесса дешифрования дешифратор Avast AtomSilo полагается на известный формат файла, чтобы убедиться, что файл был успешно расшифрован. По этой причине некоторые файлы не могут быть расшифрованы», - заявили в группе аналитики угроз Avast.

    Декриптор работает с обоими штаммами вымогателей, потому что они очень похожи, хотя группы, развертывающие их в сетях жертв, используют разные тактики атаки.

    В Avast Threat Labs заявили, что этот расшифровщик вымогателей был создан в сотрудничестве с аналитиком вредоносных программ RE - CERT Jiří Vinopal, который в начале этого месяца обнаружил уязвимость в программе-вымогателе AtomSilo.
    Жертвы AtomSilo и LockFile могут загрузить инструмент дешифрования с серверов Avast и расшифровать целые разделы диска, используя инструкции, отображаемые в пользовательском интерфейсе дешифратора.
    BleepingComputer протестировал инструмент и восстановил файлы, зашифрованные с помощью образца Atom Silo, с помощью бесплатного дешифратора Avast.

    Операция вымогателя LockFile была впервые замечена в июле 2021 года после того, как кибергруппа была замечена в захвате доменов Windows и шифровальных устройств после эксплуатации серверов, на которых не было исправлено уязвимостей ProxyShell и PetitPotam.

    При шифровании файлов программа-вымогатель LockFile добавит расширение .lockfile к именам зашифрованных файлов и оставит заметки о выкупе с именами в формате '[имя_ жертвы] -LOCKFILE-README.hta'.

    Особый интерес вызывает то, что цветовая схема LockFile и макет записки с требованием выкупа очень похожи на программу-вымогатель LockBit. Однако, похоже, нет никакой связи между двумя группами.

    Atom Silo - это недавно обнаруженная кибергруппа, операторы которой недавно нацелились на серверы Confluence Server и Data Center, уязвимые перед исправленной и активно эксплуатируемой ошибкой.

    По словам исследователей SophosLabs, программа-вымогатель, используемая Atom Silo, практически идентична LockFile.

    Однако операторы Atom Silo используют новые методы, которые чрезвычайно затрудняют расследование их атак, включая загрузку вредоносных динамически подключаемых библиотек, которые нарушают работу решений защиты конечных точек.

    https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-atom-silo-and-lockfile-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.