Siber Güvenlik Firması Emsisoft, bu yazdan bu yana karabaşıcı ransomware kurbanlarının gizlice şifresini çözdü, mağdurları milyonlarca dolar tasarrufu sağladı.
Emsisoft ve CTO Fabian Wosar, Ransomware kurbanlarının 2012'den bu yana, AccdFisa adlı bir operasyonun ilk modern fidye yazılımı olarak başlatıldığında dosyalarını kurtarmasına yardımcı olmuştur.
O zamandan beri Wosar ve diğerleri, diğitlerin yapılmasına izin veren Ransomware'nin şifreleme algoritmalarında kusurları bulmak için yorulmadan çalışıyorlar.
Bununla birlikte, Ransomware çetelerinin bu kusurları tamir etmesini önlemek için, Emsisoft, bu şifre çözücülerin haberlerini halka açık hale getirmek yerine, bu şifreleme haberini paylaşmak için kanun yaptırımı ve olay yanıtında güvenilir ortaklarla sessizce çalışır.
Blackmatter Ransomware operasyonunun başlatılmasından kısa bir süre sonra, Emsisoft, bir decryptor'u oluşturmalarını sağlayan bir kusur bulduklarını keşfetti.
Emsisoft, kolluk kuvvetleri, fidye yazılımı müzakereleri firmalar, olay müdahale firmalarını, dünya çapındaki olayı ve güvenilir ortaklarla ilgili güvenilir ortaklar hakkında uyarılmıştır.
Bu, bu güvenilir tarafların, Blackmatter kurbanlarını, bir fidye ödemek yerine dosyalarını kurtarmak için Emsisoft'a yönlendirmeye yöneldi.
"O zamandan beri, Blackmatter kurbanlarının verilerini kurtarmasına yardım etmekle meşguldük. Birden fazla ülkedeki kolluk kuvvetleri, CERTS ve özel sektör ortakları yardımıyla, çok sayıda mağdura ulaşabildik, milyonlarca dolarlık talepte kalmalarını sağladık. , "Blackmatter decryptör hakkında bir blog yazısında Wosar'ı açıklar.
Tavsiyeler dışında, Emsisoft, Blackmatter örnekleriyle ve Ransom Notes aracılığıyla bulunan mağdurlarla temasa geçti.
Blackmatter örnekleri halka açık olduğunda, fidye notunu çıkarmak ve mağdur ve fidyeware çetesi arasındaki müzakerelere erişim kazandırmak mümkündü. Kurbanı tanımladıktan sonra, Emsisoft, onlar fidye ödemek zorunda kalmadıkları için şifre çözücü hakkında kişisel olarak iletişim kurar.
Emsisoft, Ransomware örneklerini ve notları bulabilseydi, ancak diğer insanlar da aynı zamanda yapabiliyorlardı ve onları Twitter'daki sohbetlerin müzakere sohbetlerini veya paylaşımını paylaşmalarını istedi.
Bu nihayetinde çataltırın müzakere alanlarını kilitlemeye neden oldu, böylece sadece mağdurların erişebilmesi ve araştırmacıların bu şekilde mağdur bulmalarını imkansız hale getirebilir.
"On yıldan fazla bir süredir fidye yazılımı ile mücadele ediyoruz, bu yüzden InfoSEC topluluğunun fidye yazılımı tehdidi aktörlerine daha iyi hissettiğini," Herkesin daha iyi olan fidye yazılımı tehdidine doğru hissettiğini anlıyoruz.
"Bununla birlikte," Ancak, açıklama atmak gibi katartic gibi, çataltırın platformlarını kilitlemeye ve bizi ve herkesi süreçte kilitlemeye neden olabilir. "
Mağdurlar ödemeyi reddetmeye başladığında, Blackmatter daha fazla şüpheli ve fidye yazılımı müzakerelerine kızgınlaştı.
Bir Olay Yanıtlayıcı ve Müzakereci, BleepingComputer'a, Blackmatter'dan ölüm tehdidi almaya başladıklarını söyledi.
Ne yazık ki, Blackmatter eylül ayının sonunda decryptor'u öğrendi ve Emsisoft'un kurbanların dosyalarını şifresini çözmesini sağlayan hataları düzeltebildi.
"Blackmatter, kusurun varlığının farkında olabileceklerinden biri, ağlar ve şirket iletişim sonrası ihlali izleyerek. Bu nedenle, örneğin, özel bir sinyal grubu gibi, her zaman kurbanların, örneğin özel bir sinyal grubu gibi güvenli bir iletişim kanalına geçmelerini öneriyoruz. Wosar, Wosar, BleepingComputer'ın genel iyileşme süreçlerine dahil olmadığından emin olun "dedi.
Eylül ayının sonundan önce şifrelenen mağdurlar için Emsisoft, Ransomware Recovery Hizmeti ile hala yardımcı olabilir.
Wosar, ücretsiz destek alarak global pandemik tepkiye dahil olan ev kullanıcıları, kar amacı gütmeyen ve kurumsal mağdurlarla ücretsiz olarak kullanmaya çalıştıklarını söyledi.
"Endüstrinin çoğundan farklı olarak, saatte ücret almıyoruz, ancak sabit bir fiyat esasına göre çalışıyoruz. Kesin ücret genellikle 4 rakamın ortasında, ancak tam koşullara bağlı olabilir. Eğer bir kurban ödemeyi göze alamazsa Biz, genellikle ücretten feragat ediyoruz ya da alternatif bir düzenlemeye geldik. Sonuçta, ücret bizi zengin hale getirmek için tasarlanmamıştır. " - Fabian Wosar.
Blackmatter tarafından şifrelenmiş mağdurlar, böcek giderildikten sonra artık yardımcı olamaz, ancak Emsisoft, daha yeni örneklerden öğrenebilecekleri bir şey olup olmadığını görmek için hala onlarla iletişim kurmanızı önerir.
Emsisoft, ayrıca mağdurların şifreli verilerini fidye ödemesi olmadan kurtarmak için kullanılabilecek yaklaşık bir düzine aktif fidye yazılımı operasyonunda da güvenlik açıkları buldu.
Emsisoft, mağdurlara, bir decryptor müsaitse, araştırma amaçlı ödün vermenin değerli göstergelerini alabilen ve mağdurları emsisoft'a yönlendirebilecek saldırıları bildirmek için kanun uygulayıcıları temas etmelerini tavsiye eder.
Blackmatter bu yaz, kısa bir süre sonra, Kısaybaşı olarak bilinen başka bir komik fidye yazılım çetesinden hemen sonra harekete geçti.
Darkside Gang, Ağustos 2020'de başlatılan ve dünya çapındaki kuruluşlara karşı sayısız saldırı ile tanınan oldukça teknik bir fidye yazılımı operasyonuydu.
Bununla birlikte, Amerika Birleşik Devletleri'ndeki en büyük yakıt boru hattına olan sömürge boru hattına yapılan saldırılar, ABD hükümetinin çetesine dayanmasını sağladı. Bu, sunucularının ele geçirilmesine ve ABD hükümeti, sömürge boru hattı ransom ödemesinin 4 milyon dolarını geri kazanıyor.
Çiğneyebileceklerinden daha fazla parçalandığını fark etmek, darkside hızla çalışmalarını kapatır ve gölgelere geri döndü.
Bununla birlikte, açgözlülük olup olmadığı ya da spot ışığının altında olması gerektiği, Ransomware çeteleri her zaman yeni isimler altında geri dönme eğilimindedir.
Temmuz ayında Blackmatter olarak geri dönen kararlı darksu olan durum böyle.
Ransomware'de Hafta - 22 Ekim 2021 - Geri Striking
Darkside Ransomware, Bitcoin'de 7 milyon dolar nakit para kazanıyor
Free Revil Ransomware Master Decrypter geçmiş mağdurlar için serbest bırakıldı
FBI, CISA, NSA Blackmatter Ransomware Saldırıları için Savunma İpuçları
Ransomware'deki hafta - 17 Eylül 2021 - Yeniden Şifrelendi
Kaynak: Bleeping Computer