Varnost
14.02.2022 17:03

Deli z drugimi:

Share

To je začetek konca izsiljevalske programske opreme

Če vas ste postali žrtev izsiljevalske programske opreme, so lahko posledice uničujoče. Dobra novica je, da se bo to vse skupaj kmalu končalo
Začetek konca izsiljevalske programske opreme?
Začetek konca izsiljevalske programske opreme?

Če ste dovolj “nesrečni”, da vas ujame izsiljevalska programska oprema, so lahko posledice uničujoče. Morda se boste lahko znebili okužbe, vendar bodo vse pomembne datoteke, ki jih je prizadel tak napad, še vedno pod ključem.

Datoteke je sicer včasih mogoče obnoviti na naslednje načine:

  • Avtor izsiljevalske programske opreme naredi kakšno napako ali pa so njihove datoteke preprosto slabo kodirane. Raziskovalci najdejo način za obnovitev ključa za dešifriranje in ga objavijo, da lahko žrtve obnovijo svoje datoteke.
  • Avtorji sami ponudijo ključe. To je lahko iz različnih razlogov. Morda so ustvarili malo preveč pozornosti in se želijo umakniti v senco s predlogom o opravljenem dobrem delu. Drugič se odločijo, da je “zabave konec” z izdajo nove različice in bivšim žrtvam podelijo prepustnico “Pojdi ven iz zapora brezplačno”.

Na srečo pa bo teh napadov sedaj vedno manj, saj je nekdo objavil objavo na forumih Bleeping Computer, s katero trdi, da je razvijalec ne samo programske opreme “Maze”, ampak tudi družine odkupovalne programske opreme Egregor in Sekhmet.

Objava se glasi takole:
“Pozdravljeni, to je razvijalec. Odločeno je bilo, da se javnosti izdajo ključi za družine izsiljevalske programske opreme Egregor, Maze, Sekhmet.

Obstaja tudi malo neškodljiva izvorna koda polimorfnega x86/x64 modularnega virusa EPO datoteke infector m0yv, ki je v naravi zaznan kot virus Win64/Expiro, vendar v resnici ni Expiro, ampak AV motorji ga zaznajo, tako da ni nobene skupne povezave z gazavati. Vsak arhiv s ključi ima v številskih mapah ustrezne ključe, ki so enaki ID-ju v konfiguraciji.

V mapi “OLD” maze leak so ključi za njegovo staro različico, ki temelji na e-pošti. Razmislite o tem, da najprej naredite dešifriranje za to različico, ker je bilo za to različico preveč žrtev običajnih uporabnikov osebnih računalnikov.”

Objava na forumu je vključevala datoteko zip, ki vsebuje ključe za dešifriranje za odkupovalno programsko opremo, ter tudi nekaj izvorne kode za zlonamerno programsko opremo, ki jo uporablja tolpa Maze.

Orodje za dešifriranje zdaj obstaja za vse 3 omenjene skupine, zahvaljujoč izdaji ključev na forumu in je že na voljo za prenos. Zip datoteka je bila sicer že odstranjena s foruma zaradi vključitve izvorne kode zlonamerne programske opreme.

Avtor trdi, da ta objava in objava na forumu nista povezana z aretacijo, a kljub temu se zdi, da je to bolj pomembno kot napoved zapuščanja področja zlonamerne programske opreme, da bi se izognili težavam.

Ali so napadalci sedaj odšli za vedno ali se bodo znova vrnili z novim naborom datotek ransomware? Samo čas bo povedal …


Prijavi napako v članku
Vas zanima več iz te teme?
Računalniški virus


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Makro Team d.o.o.

Ilaunigova ulica 5, 2230 Lenart v Slovenskih goricah, Tel: 040 410 451, 02 729 25 40
Ste mislili, da je IT podporna služba primerna le za večja podjetja? Zagotavljanje strokovne informacijske podpore bodisi na daljavo ali na fizični lokaciji ima številne prednosti, ... Več
Zlati partner

SELECTIUM ADRIATICS d.o.o.

Letališka cesta 29c, 1000 Ljubljana, Tel: 01 543 88 88
Podjetje Selectium Adriatics d. o. o., ki v Sloveniji nastopa pod imenom Hewlett Packard Enterprise operated by Selectium, je lokalni zastopnik družbe Hewlett Packard Enterprise (HPE). ... Več

TMSA.PINTAR d.o.o.

Podsabotin 47, 5211 Kojsko, Tel: 041 695 667

BILLY POS d.o.o.

Hudourniška pot 2, 1000 Ljubljana, Tel: 051 888 710
Billy rešitve za davčne blagajne temeljijo na tehnologiji v oblaku, kjer so podatki varno shranjeni v primeru izgube ali okvare naprave. Več