To je začetek konca izsiljevalske programske opreme

Če ste dovolj “nesrečni”, da vas ujame izsiljevalska programska oprema, so lahko posledice uničujoče. Morda se boste lahko znebili okužbe, vendar bodo vse pomembne datoteke, ki jih je prizadel tak napad, še vedno pod ključem.

Datoteke je sicer včasih mogoče obnoviti na naslednje načine:

• Avtor izsiljevalske programske opreme naredi kakšno napako ali pa so njihove datoteke preprosto slabo kodirane. Raziskovalci najdejo način za obnovitev ključa za dešifriranje in ga objavijo, da lahko žrtve obnovijo svoje datoteke.
• Avtorji sami ponudijo ključe. To je lahko iz različnih razlogov. Morda so ustvarili malo preveč pozornosti in se želijo umakniti v senco s predlogom o opravljenem dobrem delu. Drugič se odločijo, da je “zabave konec” z izdajo nove različice in bivšim žrtvam podelijo prepustnico “Pojdi ven iz zapora brezplačno”.

Na srečo pa bo teh napadov sedaj vedno manj, saj je nekdo objavil objavo na forumih Bleeping Computer, s katero trdi, da je razvijalec ne samo programske opreme “Maze”, ampak tudi družine odkupovalne programske opreme Egregor in Sekhmet.

Objava se glasi takole:
“Pozdravljeni, to je razvijalec. Odločeno je bilo, da se javnosti izdajo ključi za družine izsiljevalske programske opreme Egregor, Maze, Sekhmet.

Obstaja tudi malo neškodljiva izvorna koda polimorfnega x86/x64 modularnega virusa EPO datoteke infector m0yv, ki je v naravi zaznan kot virus Win64/Expiro, vendar v resnici ni Expiro, ampak AV motorji ga zaznajo, tako da ni nobene skupne povezave z gazavati. Vsak arhiv s ključi ima v številskih mapah ustrezne ključe, ki so enaki ID-ju v konfiguraciji.

V mapi “OLD” maze leak so ključi za njegovo staro različico, ki temelji na e-pošti. Razmislite o tem, da najprej naredite dešifriranje za to različico, ker je bilo za to različico preveč žrtev običajnih uporabnikov osebnih računalnikov.”

Objava na forumu je vključevala datoteko zip, ki vsebuje ključe za dešifriranje za odkupovalno programsko opremo, ter tudi nekaj izvorne kode za zlonamerno programsko opremo, ki jo uporablja tolpa Maze.

Orodje za dešifriranje zdaj obstaja za vse 3 omenjene skupine, zahvaljujoč izdaji ključev na forumu in je že na voljo za prenos. Zip datoteka je bila sicer že odstranjena s foruma zaradi vključitve izvorne kode zlonamerne programske opreme.

Avtor trdi, da ta objava in objava na forumu nista povezana z aretacijo, a kljub temu se zdi, da je to bolj pomembno kot napoved zapuščanja področja zlonamerne programske opreme, da bi se izognili težavam.

Ali so napadalci sedaj odšli za vedno ali se bodo znova vrnili z novim naborom datotek ransomware? Samo čas bo povedal …