Odborníci z bezpečnostní firmy Emsisoft oznámili na blogu, že objevili způsob, jak dešifrovat soubory zašifrované novým ransomwarem PwndLocker. Díky tomu mohou případné oběti získat zpět svá data, aniž by musely platit vysoké výkupné.
Emsisoft byl první, kdo o ransomwaru PwndLocker informoval. Dle jeho zjištění se škodlivá aplikace zaměřovala na organizace po celém světě a v závislosti na velikosti sítě požadovala výkupné v bitcoinech v přepočtu mezi 3,9 a 14,9 miliony korun. Zasaženy byly například sítě samosprávy okresu LaSalle County v americkém státě Illinois či radnice srbského města Novi Sad.
PwndLocker má řadu variant, z nichž všechny odstraňují stínové kopie diskových svazků, což omezuje šanci na obnovu dat. Ransomware poté provede zašifrování souborů a v aplikaci Poznámkový blok zobrazí uživateli výzvu k zaplacení výkupného.
Prolomený ransomware
Experti z Emsisoftu provedli důkladnou analýzu ransomwaru PwndLocker a odhalili v něm blíže nespecifikované slabé místo, díky kterému lze obnovit šifrovaná data. Jedinou podmínkou k úspěšné nápravě je nutnost poslat kopii spustitelného souboru ransomwaru, který byl použit při útoku.
„Protože každý dešifrovací nástroj vyžaduje před použitím přizpůsobení, nemůžeme ho veřejně zpřístupnit ke stažení a postižené organizace nás musejí kontaktovat.“ uvádí se na blogu. Lze tedy předpokládat, že způsob šifrování závisí na konkrétní verzi malwaru.
Útočníci však chytře tento soubor po vykonání všech operací odstraňují, nicméně je možné ho obnovit pomocí nástroje Shadow Explorer či jinou aplikací pro obnovu smazaných souborů. Vyskytuje se ve složkách % Temp%, C:\User a %Appdata% a po jeho získání stačí kontaktovat Emsisoft se žádostí o pomoc.
