White Phoenix Online: известный дешифратор стал ещё проще в эксплуатации

White Phoenix Online: известный дешифратор стал ещё проще в эксплуатации

Теперь для восстановления файлов достаточно загрузить их в сервис и нажать одну кнопку.

image

Компания CyberArk выпустила онлайн-версию своего инструмента White Phoenix — бесплатного дешифратора для файлов, подвергшихся атаке программ-вымогателей и закодированных методом прерывистого шифрования.

Впервые инструмент был представлен ещё в мае прошлого года, однако существовал всё это время лишь в виде проекта на языке Python, размещённого на платформе GitHub.

В CyberArk посчитали, что жертвам вымогательского ПО, не обладающим техническими навыками, нужна онлайн-версия для упрощения процесса восстановления файлов.

Использовать онлайн-версию White Phoenix весьма просто — нужно просто загрузить зашифрованные файлы, нажать кнопку «восстановить» и подождать, пока инструмент восстановит данные, если это возможно.

На данный момент поддерживаются файлы в формате ZIP, PDF, а также большинство основных форматов офисных документов, созданных в Word, Excel и PowerPoint. Однако есть и ограничения по размеру файла — 10 Мб. Для более крупных файлов и виртуальных машин по-прежнему нужно использовать версию с GitHub .

Прерывистое шифрование — метод ускорения шифрования данных на устройстве путём пропуска части блоков каждого файла. Данный метод используется такими семействами вымогательского ПО как Blackcat/ALPHV, Play, Qilin/Agenda, BianLian и DarkBit. Следовательно, White Phoenix охватывает довольно большой пласт киберпреступлений с шифрованием, однако едва ли сможет помочь в случае, если при атаке были использованы какие-либо другие программы-вымогатели.

Разработка дешифратора как такового стала возможной благодаря наличию уязвимости в методе прерывистого шифрования — значительные незашифрованные фрагменты остаются внутри каждого файла. Если эти фрагменты содержат полезную информацию, особенно в начале и конце файла, вероятность успешного восстановления без оплаты выкупа существенно повышается.

White Phoenix пытается восстанавливать текст в документах путём объединения незашифрованных частей, а также обращения шестнадцатеричного кодирования и перестановки символов.

Эффективность инструмента зависит от типа файла и используемого вымогательского ПО. White Phoenix фактически автоматизирует ручное восстановление, применяемое экспертами кибербезопасности.

По словам CyberArk, для успешного восстановления файлов определённого типа в них должны читаться конкретные строки. Например, в ZIP должна присутствовать строка «PK\\x03\\x04», а в PDF — «0 obj» и «endobj».

Даже если White Phoenix не сможет восстановить файлы полностью, инструмент всё равно может быть полезен для извлечения хотя бы части ценных данных. Как бы то ни было, других рабочих дешифраторов для упомянутых семейств вымогательского ПО кроме White Phoenix сейчас попросту не существует. Однако имеющуюся реализацию специалисты оценивают довольно высоко.

При работе с особо конфиденциальной информацией, на всякий случай, рекомендуется всё же загрузить White Phoenix с GitHub и использовать его локально, не выгружая чувствительных документов на внешние серверы, чтобы избежать хоть и маловероятных, но крайне неприятных сюрпризов в будущем.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь