Avast выпустил инструмент восстановления файлов, заблокированных шифровальщиком AES_NI

2017-05-31 5159 комментарии
Компания Avast выпустила новый инструмент дешифрования Avast Decryptor AES_NI, который позволяет восстановить доступ к файлам, заблокированным шифровальщиком AES_NI

Скачать Avast Decryptor AES_NI

На фоне стремительного распространения троянов-шифровальщиков, вендоры вынуждены достойно отвечать на новые вызовы. Компания Avast анонсировала новый инструмент дешифрования, который позволяет восстановить доступ к файлам, заблокированным шифровальщиком AES_NI. Скорее всего, при его создании были применены опубликованные несколько дней назад дампы закрытых мастер-ключей шифровальщика.

Это семейство шифровальщиков было впервые обнаружено в декабре 2016 года, и с тех пор было найдено множество вариантов угрозы. Если файлы атаковал именно AES_NI, то зашифрованные версии будут иметь одно из следующих расширений: example.docx.aes_ni, example.docx.aes256 или example.docx.aes_ni_0day.

Как поясняют исследователи Avast, шифровальщик генерирует ключ сеанса RSA для каждой зараженной машины. Этот ключ сеанса затем зашифровывается и сохраняется в отдельном файле в папке “Program Data”.

Avast сообщает в официальном блоге: “В отличие от остальных зашифрованных файлов, AES-ключ файла должен быть зашифрован с помощью закрытого ключа, который был опубликован 25 мая 2017 года пользователем Twitter под ником @AES___NI”.

Уже известно, что, данный пользователь Twitter является автором вредоносной программы. Он раскрыл данную информацию из-за опасения, что кто-то умышленно пытается его подставить, выдав за оператора шифровальщика XData, который использует схожий с AES_NI исходный код.

Как работает AES_NI?

При шифровании файла, троян-вымогатель генерирует случайный 128-байтовый номер для каждого файла, который затем сокращается до 256-битного ключа AES и используется для шифрования данных файла. Затем ключ шифрования AES сохраняется в конце файла вместе с идентификатором пользователя и именем исходного файла.

Теперь жертвы шифровальщика могут восстановить доступ к своим данным без оплаты выкупа. Конечно это довольно странный шаг для киберпреступника - публично выложить дамп мастер-ключей. В любом случае, теперь одной угрозой стало меньше, ну или, по крайней мере, она стала не такой опасной при наличии инструмента дешифрования.

 

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?