Скачать Avast Decryptor AES_NI
На фоне стремительного распространения троянов-шифровальщиков, вендоры вынуждены достойно отвечать на новые вызовы. Компания Avast анонсировала новый инструмент дешифрования, который позволяет восстановить доступ к файлам, заблокированным шифровальщиком AES_NI. Скорее всего, при его создании были применены опубликованные несколько дней назад дампы закрытых мастер-ключей шифровальщика.
Это семейство шифровальщиков было впервые обнаружено в декабре 2016 года, и с тех пор было найдено множество вариантов угрозы. Если файлы атаковал именно AES_NI, то зашифрованные версии будут иметь одно из следующих расширений: example.docx.aes_ni, example.docx.aes256 или example.docx.aes_ni_0day.
Как поясняют исследователи Avast, шифровальщик генерирует ключ сеанса RSA для каждой зараженной машины. Этот ключ сеанса затем зашифровывается и сохраняется в отдельном файле в папке “Program Data”.
Avast сообщает в официальном блоге: “В отличие от остальных зашифрованных файлов, AES-ключ файла должен быть зашифрован с помощью закрытого ключа, который был опубликован 25 мая 2017 года пользователем Twitter под ником @AES___NI”.
Уже известно, что, данный пользователь Twitter является автором вредоносной программы. Он раскрыл данную информацию из-за опасения, что кто-то умышленно пытается его подставить, выдав за оператора шифровальщика XData, который использует схожий с AES_NI исходный код.
Как работает AES_NI?
При шифровании файла, троян-вымогатель генерирует случайный 128-байтовый номер для каждого файла, который затем сокращается до 256-битного ключа AES и используется для шифрования данных файла. Затем ключ шифрования AES сохраняется в конце файла вместе с идентификатором пользователя и именем исходного файла.
Теперь жертвы шифровальщика могут восстановить доступ к своим данным без оплаты выкупа. Конечно это довольно странный шаг для киберпреступника - публично выложить дамп мастер-ключей. В любом случае, теперь одной угрозой стало меньше, ну или, по крайней мере, она стала не такой опасной при наличии инструмента дешифрования.
Угрозы безопасности
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге
• ASUS предупреждает о новой критической уязвимости обхода аутентификации в роутерах с AiCloud
• В атаках ClickFix используется фальшивый экран обновления Windows для установки вредоносного ПО
• Sturnus: новый Android-троян читает сообщения из Telegram, WhatsApp и Signal, обходя сквозное шифрование