Avast, son on gün boyunca Ukrayna sistemlerine karşı hedeflenen saldırılarda kullanılan Hermeticransom Ransomware suşu için bir şifreleme yapmıştır.
Decryptor, Avast'in web sitesinden ücretsiz bir indirme aracı olarak sunulur ve Ukraynalıların verilerini hızlı ve güvenilir bir şekilde geri kazanmalarına yardımcı olabilir.
Hermetretransom'un dağılımının ilk belirtileri, ESET araştırmacıları tarafından 23 Şubat'ta, Rus birliklerinin işgalinin Ukrayna'da ortaya çıkmasından sadece birkaç saat önce gözlendi.
Ransomware suşu, HermeticWizard adlı bir bilgisayar solucanı ile birlikte teslim edildi ve finansal gaspleri desteklemek için bir araçtan ziyade silecek saldırılarında bir kurtçuk olarak daha fazla servis edildi. Yine de, enfeksiyonları hayati Ukrayna sistemlerini bozdu.
Crowdstrike, go-yazılı suşun kriptografik şemasında bir zayıflığı tespit etmek için hızlıydı ve Hermeticransom (aka partyticket) tarafından şifrelenen dosyaların şifresini çözmek için bir komut dosyası sundu.
"Ransomware, uygulama hataları içeriyor, şifrelemesini kırılabilir ve yavaşlatıyor. Bu kusur, kötü amaçlı yazılım yazılımının gidip gelen yazılımı ya da kötü amaçlı yazılımları test etmede sınırlı çabalara yatırım yaptığını, muhtemelen mevcut geliştirme süresi sınırladığından," Salı günü yeni blog yazısı yayınlandı.
BleepingComputer'ın Twitter'da açıklandığı gibi, Hermeticransom fidye yazılımı ikili, fidye notunda ve iletişim e-postalarında (oy2024forjb@protonmail.com ve stephanie.jones2024@protonmail.com) sayısız politik olarak yönlendirilmiş dize adı içerir.
Kötü niyetli yazılımın kendisi, 403forbiden meme referansı gibi görünen işlev / proje adlarına sahiptir: _ / C_ / Projeler / 403Forbiden / Whitehouse.PrimaryelectionProcess _ / C_ / Projeler / 403Forbiden / Whitehouse.GoodOffice1 C: /projects/403forbiden/main.go main.votefor403 pic.twitter.com/gclmhsczbl
Hermetransom asla, finansal ve itibar zarar gören, finansal ve itibarlı hasar vermek için zemin yerleştirecek modern bir fidye yazılım suşu olarak hizmet etmek istemediler.
Yukarıdaki, hermetrikransom enfeksiyonlarının hedeflenen makineleri etkilemediği anlamına gelmez.
Aksine, bu gerilme, RSA-2048 tuşunu kullanarak, program dosyaları ve Windows klasörlerinin dışındaki değerli dosyaları hala şifreleyebilir.
Kurbanların gördüğü fidye notu tipik bir form ve içeriğe sahip olup, bir şifrelemörü elde etmek için bir protonmail adresine başvurmalarını isteyin.
Crowdstrike'in komut dosyası güvenilir olmasına rağmen, herkesin bu durumda kullanması kolay değildir. Daha kolay hale getirmek için, Avast, Hermeticransom tarafından şifrelenen dosyaların şifresini çözmeyi kolaylaştıran bir GUI decryptörünü serbest bıraktı.
Ayrıca, araç şifreleme işleminde bir şeyler ters giderse, geri dönüşümsüz bozuk dosyalarla bitmeyi önlemek için şifreli dosyaları yedekleme seçeneğini sunar.
Decryptörün nasıl kullanılacağı konusunda adım adım bir rehber için buradan başlayabilirsiniz.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
Ukrayna'daki veri silme saldırılarında çömelme olarak kullanılan fidye yazılımı
Ransomware'de hafta - 4 Mart 2022 - Conti Kaçakları
CISA ve FBI, potansiyel veri silme saldırılarını silerek
Conti Ransomware'in iç sohbetleri Rusya ile oturduktan sonra sızdırılmış
Kaynak: Bleeping Computer