HermeticRansom krąży w Ukrainie. Istnieje darmowy dekrypter dla ofiar malware
Malware HermeticRansom towarzyszące wirusowi HermeticWiper, wykryte przez Avast Threat Labs, ma krążyć głównie w Ukrainie. Po raz pierwszy zostało wykorzystane do zaatakowania ukraińskich organizacji państwowych. Na szczęście, udało stworzyć dekrypter dla osób, które zostały nim zainfekowane.
03.03.2022 | aktual.: 05.03.2022 11:35
Pierwsze doniesienia o nowym wirusie miały się pojawić zaraz przed atakiem Rosji na Ukrainę. Zdaniem ekspertów ds. bezpieczeństwa, ataki za pomocą malware miały być planowane od miesięcy. Jak wynika jednak z analiz przeprowadzonych przez Crowdstrike’s Intelligence Team, oprogramowanie ransomware ma podatność, które pozwala na odszyfrowanie plików za darmo.
Schemat działania
Oprogramowanie ransomware HermeticRansom zostało napisane w języku Go. Jego celem jest ukrycie istnienia na zainfekowanym sprzęcie wirusów HermeticWiper oraz HermeticWizard. Ten pierwszy odpowiedzialny jest za uniemożliwienie działania systemu poprzez uszkodzenie jego danych. Drugi zaś rozpowszechnia HermeticWiper w sieci lokalnej za pośrednictwem WMI i SMB.
Zgodnie z doniesieniami Avasta, aby zapewnić sprawne działanie komputera ofiary, ransomware unika szyfrowania plików w plikach programów i folderach systemu Windows. Zespół odkrył, że po zaszyfrowaniu danych szkodliwe oprogramowanie dołącza ogon pliku zawierający zaszyfrowany klucz pliku RSA-2048. Klucz publiczny jest przechowywany w pliku binarnym jako ciąg zakodowany w Base64.
Odszyfrowywanie plików
Dzięki wiedzy, jak dokładnie działa ransomware, możliwe było stworzenie dekryptera, który będzie w stanie odszyfrować pliki na komputerze ofiary, bez konieczności płacenia okupu atakującym. W tym celu wystarczy pobrać Avast Decryptor, a następnie go uruchomić. Cała procedura została zaprogramowania w formie kreatora, który prowadzi użytkownika przez całą konfigurację procesu deszyfrowania.
Po zgodzeniu się z informacjami o licencji, należy wybierać listę lokalizacji, które dekrypter ma przeszukać i odszyfrować. Domyślnie na liście znajdują się wszystkie dyski lokalne. W kolejnym kroku użytkownik decyduje, czy chce stworzyć kopie zapasowe zaszyfrowanych plików. Biorąc pod uwagę, że kopie mogą być przydatne, jeśli coś pójdzie nie tak podczas procesu odszyfrowywania, zalecamy ich wykonanie. Ta opcja jest domyślnie włączona. Po przejściu tych kroków, użytkownikowi zostaje kliknięcie przycisku Decrypt, aby rozpocząć proces deszyfrowywania.
Avast Decryptor, który pomoże pozbyć się ransomware z zainfekowanej maszyny, możecie pobrać z naszego katalogu oprogramowania: