HermeticRansom krąży w Ukrainie. Istnieje darmowy dekrypter dla ofiar malware

HermeticRansom krąży w Ukrainie. Istnieje darmowy dekrypter dla ofiar malware

Avast Decryptor pomoże w sytuacji zainfekowania HermeticRansom
Avast Decryptor pomoże w sytuacji zainfekowania HermeticRansom
Źródło zdjęć: © Getty Images | Elena Abrazhevich
Karolina Kowasz
03.03.2022 17:51, aktualizacja: 05.03.2022 11:35

Malware HermeticRansom towarzyszące wirusowi HermeticWiper, wykryte przez Avast Threat Labs, ma krążyć głównie w Ukrainie. Po raz pierwszy zostało wykorzystane do zaatakowania ukraińskich organizacji państwowych. Na szczęście, udało stworzyć dekrypter dla osób, które zostały nim zainfekowane.

Pierwsze doniesienia o nowym wirusie miały się pojawić zaraz przed atakiem Rosji na Ukrainę. Zdaniem ekspertów ds. bezpieczeństwa, ataki za pomocą malware miały być planowane od miesięcy. Jak wynika jednak z analiz przeprowadzonych przez Crowdstrike’s Intelligence Team, oprogramowanie ransomware ma podatność, które pozwala na odszyfrowanie plików za darmo.

Schemat działania

Oprogramowanie ransomware HermeticRansom zostało napisane w języku Go. Jego celem jest ukrycie istnienia na zainfekowanym sprzęcie wirusów HermeticWiper oraz HermeticWizard. Ten pierwszy odpowiedzialny jest za uniemożliwienie działania systemu poprzez uszkodzenie jego danych. Drugi zaś rozpowszechnia HermeticWiper w sieci lokalnej za pośrednictwem WMI i SMB.

Zgodnie z doniesieniami Avasta, aby zapewnić sprawne działanie komputera ofiary, ransomware unika szyfrowania plików w plikach programów i folderach systemu Windows. Zespół odkrył, że po zaszyfrowaniu danych szkodliwe oprogramowanie dołącza ogon pliku zawierający zaszyfrowany klucz pliku RSA-2048. Klucz publiczny jest przechowywany w pliku binarnym jako ciąg zakodowany w Base64.

Odszyfrowywanie plików

Dzięki wiedzy, jak dokładnie działa ransomware, możliwe było stworzenie dekryptera, który będzie w stanie odszyfrować pliki na komputerze ofiary, bez konieczności płacenia okupu atakującym. W tym celu wystarczy pobrać Avast Decryptor, a następnie go uruchomić. Cała procedura została zaprogramowania w formie kreatora, który prowadzi użytkownika przez całą konfigurację procesu deszyfrowania.

Po zgodzeniu się z informacjami o licencji, należy wybierać listę lokalizacji, które dekrypter ma przeszukać i odszyfrować. Domyślnie na liście znajdują się wszystkie dyski lokalne. W kolejnym kroku użytkownik decyduje, czy chce stworzyć kopie zapasowe zaszyfrowanych plików. Biorąc pod uwagę, że kopie mogą być przydatne, jeśli coś pójdzie nie tak podczas procesu odszyfrowywania, zalecamy ich wykonanie. Ta opcja jest domyślnie włączona. Po przejściu tych kroków, użytkownikowi zostaje kliknięcie przycisku Decrypt, aby rozpocząć proces deszyfrowywania.

Avast Decryptor, który pomoże pozbyć się ransomware z zainfekowanej maszyny, możecie pobrać z naszego katalogu oprogramowania:

Programy

Zobacz więcej
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie