Создан инструмент для восстановления файлов, зашифрованных Hydracrypt и Umbrecrypt

ИБ-эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) создал инструмент для восстановления файлов, зашифрованных недавно появившимся вымогательским ПО Hydracrypt и Umbrecrypt. Оба образца относятся к семейству CrypBoss и распространяются с помощью набора эксплоитов Angler.

Исходный код вредоноса CrypBoss был опубликован на Pastebin в прошлом году. Проанализировав его, Восару удалось взломать алгоритм шифрования и создать инструмент для восстановления файлов, зашифрованных с помощью CrypBoss и его вариантов Hydracrypt и Umbrecrypt. Как оказалось, оба шифровальщика имеют общее происхождение и отличаются от оригинала лишь небольшими модификациями в реализации.

По словам Восара, внесенные разработчиками Hydracrypt и Umbrecrypt изменения заключаются в добавлении 15 байтов в конец файлов, из-за чего восстановить их невозможно. Однако дополнительные байты вредят не всем форматам и зачастую записываются в область буферных данных, поэтому восстановить файл можно, просто открыв его и сохранив.

Дешифратор доступен для загрузки на сайте Emsisoft. Начать процесс расшифровки нужно с помощью двойного клика на исполняемый файл. По завершении задачи будет сгенерирован ключ (рекомендуется создать его копию, например, записать на бумаге). Далее необходимо запустить инструмент, выбрать подлежащие расшифровке папки и нажать на появившуюся кнопку.

Ранее Восар также предоставил инструменты для восстановления файлов, зашифрованных вредоносным ПО Gomasom , Radamant и LeChiffre .