Laboratoře Avast Threat Labs objevily 24. února nový kmen ransomwaru doprovázený malwarem HermeticWiper. Odborníci z ESETu o den dříve hlásili objev nového malwaru mazajícího data, který byl detekován na stovkách ukrajinských počítačů.
Rozbor, provedený experty z americké kyberbezpečnostní firmy Crowdstrike, ukázal, že ransomware obsahuje slabinu v kryptografickém schématu. Díky ní lze data zašifrovaná touto škodlivou aplikací poměrně snadno dešifrovat.
Ransomware HermeticRansom
Ransomware je napsán v jazyce GO. Po spuštění prohledává místní disky i síťové sdílené složky a hledá potenciálně cenné soubory s příponami .docx, .doc, .dot, .odt, .pdf, .xls, .xlsx, .rtf, .ppt, .pptx, .one, .xps, .pub, .vsd, .txt, .jpg, .jpeg, .bmp, .ico, .png, .gif, .sql, .xml, .pgsql, .zip, .rar, .exe, .msi, .vdi, .ova, .avi, .dip, .epub, .iso, .sfx, .inc, .contact, .url, .mp3, .wmv, .wma, .wtv, .avi, .acl, .cfg, .chm, .crt, .css, .dat, .dll, .cab, .htm, .html a .encryptedjb. V zájmu zachování funkčnosti počítače oběti se vyhýbá šifrování souborů ve složkách Program Files a Windows.
Avast uvádí, že pro každý soubor určený k zašifrování vytváří ransomware 32bajtový šifrovací klíč. Soubory jsou šifrovány po blocích, přičemž každý blok má 1048576 bajtů. Šifrováno je maximálně devět bloků a veškerá data za hranicí 9437184 bajtů jsou ponechána ve formátu prostého textu.
V binárním souboru ransomwaru je zajímavé množství politicky orientovaných řetězců. Kromě přípony souboru, která odkazuje na znovuzvolení Joea Bidena v roce 2024, je na něj odkaz i v názvu projektu. Během akce ransomware vytváří velké množství podřízených procesů, které zajišťují samotné šifrování.
Dešifrátor zdarma
Ransomware je škodlivý software, který nejprve zašifruje data a následně požaduje po oběti výkupné za jejich dešifrování. V případě ransomwaru HermeticRansom stačí pro tyto účely nástroj Avast Decryptor, který je poskytován zdarma.
Dešifrátor stačí stáhnout a spustit. Zobrazí se průvodce, který uživatele provede celým procesem dešifrování. Po odsouhlasení licenčních podmínek stačí zvolit, jakým ransomwarem se má nástroj zabývat, nebo je možné spolehnout se na automatickou detekci. Následuje výběr disků, jež budou kontrolovány – kromě lokálních lze testovat i síťová úložiště.
Na poslední stránce průvodce je možné zvolit, zda mají být šifrované soubory před dešifrováním zálohovány. To rozhodně doporučujeme – zálohy mohou pomoci, pokud se během dešifrování něco pokazí.