Yeni bir 'beyaz Phoenix' fidye yazılımı şifrelemesi, kurbanların aralıklı şifreleme kullanan fidye yazılımı suşları tarafından şifrelenmiş dosyaları kısmen kurtarmasına olanak tanır.
Aralıklı şifreleme, veri parçalarını şifreleme ve şifrelememek arasında değişen birkaç fidye yazılımı grubu tarafından kullanılan bir stratejidir. Bu yöntem, verileri kurban tarafından kullanılamaz bırakırken bir dosyanın çok daha hızlı şifrelenmesini sağlar.
Eylül 2022'de Sentinel Labs, aralıklı şifrelemenin fidye yazılımı alanında çekiş kazandığını bildirdi, tüm Big Raas en azından bağlı kuruluşlara ve Blackcat/Alphv'ye en sofistike uygulamaya sahip bir seçenek olarak sunuyor.
Bununla birlikte, 'White Phoenix'i geliştiren ve yayınlayan Cyberark'a göre, bu taktik, orijinal dosyaların şifrelenmemiş kısımlarını serbest bırakma potansiyeli oluşturduğu için şifrelemeye zayıflıklar getiriyor.
Aralıklı şifreleme kullanan fidye yazılımı işlemleri arasında Blackcat, Play, Esxiargs, Qilin/Gündem ve Bianlian bulunmaktadır.
Cyberark, kısmen şifreli PDF dosyalarını denedikten sonra, akış nesnelerinden metin ve görüntüleri kurtarmaya çalıştıktan sonra White Phoenix'i geliştirdi.
Araştırmacılar, bazı Blackcat şifreleme modlarında, PDF dosyalarındaki birçok nesnenin etkilenmediğini ve verilerin çıkarılmasına izin verdiğini buldular.
Görüntü akışları söz konusu olduğunda, bunları kurtarmak, uygulanan filtreleri kaldırmak kadar basittir.
Metin kurtarma durumunda, restorasyon yöntemleri akışlardaki metin parçalarının tanımlanmasını ve bunları birleştirmeyi veya onaltılık kodlama ve CMAP (karakter eşleme) karıştırmayı tersine çevirmeyi içerir.
Beyaz Phoenix aracını kullanarak PDF dosyalarını başarıyla kurtardıktan sonra, Cyberark, Zip Arşivlerine dayalı dosyalar da dahil olmak üzere diğer dosya formatları için benzer restorasyon olanakları buldu.
ZIP formatını kullanan bu dosyalar Word (DOCX, DOCM, DOTX, DOTM, ODT), Excel (XLSX, XLSM, XLTX, XLTM, XLSB, XLAM, ODS) ve PowerPoint (PPTX, PPTM, PTOX, POTM, PPSX, PPSM, ODP) Belge Biçimleri.
Bu dosya türleri için restorasyon, etkilenen belgelerin şifrelenmemiş XML dosyalarını çıkarmak ve veri değiştirme gerçekleştirmek için 7ZIP ve HEX düzenleyicisi kullanılarak elde edilir.
White Phoenix, bazı durumlarda manuel müdahale gerekse de, desteklenen dosya türleri için yukarıdaki tüm adımları otomatikleştirir.
Araç, Cyberark'ın genel GitHub deposundan ücretsiz olarak indirilebilir.
Analistler, otomatik veri kurtarma aracının aşağıdaki fidye yazılımı suşları tarafından şifrelenen söz konusu dosya türleri için iyi çalışması gerektiğini bildirdi:
Bununla birlikte, teorik olarak desteklense bile White Phoenix'in her durumda iyi sonuçlar üretmeyeceğini belirtmek gerekir.
Örneğin, kritik bileşenleri de dahil olmak üzere bir dosyanın büyük bir kısmı şifrelenmişse, geri kazanılan veriler eksik veya işe yaramaz olabilir. Dolayısıyla, aracın etkinliği doğrudan dosyaya verilen hasarın derecesine bağlıdır.
Metnin PDF dosyalarında CMAP nesneleri olarak saklandığı durumlar için, kurtarma ancak onaltılık kodlamanın orijinal karakter değerleriyle eşleştiği nadir durumlar hariç, ne metin ne de CMAP nesneleri şifrelenmezse mümkündür.
BleepingComputer, White Phoenix'i küçük bir ALPHV şifrelenmiş PDF dosyaları ve çalma şifreli PPTX ve DOCX dosyaları ile test etti ve aracı kullanarak herhangi bir veriyi kurtaramadı.
Bununla birlikte, Cyberark bunun, örnek aldığımız saldırılarda kullanılmayan aralıklı şifrelemeden veya dosyaların düzgün bir şekilde ayrıştırılamayacak kadar ağır şifrelenmesinden kaynaklanabileceğini açıkladı.
"Kullanılan belirli fidye yazılımı örneğine bağlı olarak, farklı dosya boyutları verileri kurtarmak için çok şifreli olabilir. Dosyada aşağıdaki karakterler görülmezse, muhtemelen tamamen şifreli ve beyaz Phoenix yardımcı olamaz, "Cyberark BleepingComputer'a söyledi.
Beyaz Phoenix'in doğru çalışması için, zip/ofis formatları desteklenecek dosyadaki "PK \ x03 \ x04" dizesini içermelidir. Buna ek olarak, PDF'lerin kısmen kurtarılması için "0 OBJ" ve "Endobj" dizeleri içermesi gerekir.
Beyaz Phoenix bu dizeleri bulamazsa, sınırlı testlerimizde aşağıda gösterildiği gibi dosya türünün desteklenmediğini belirtir.
Bu şifreleme tüm dosyalar için çalışmasa da, kurbanların kritik dosyalardan "bazı" verileri kurtarmaya çalışmaları çok yararlı olabilir.
Cyberark, tüm güvenlik araştırmacılarını aracı indirmeye ve denemeye ve geliştirmeye ve daha fazla dosya türüne ve fidye yazılımı suşlarına desteklemeye yardımcı olma çabalarına katılmaya davet eder.
Conti tabanlı fidye yazılımı ‘Meowcorp’ Ücretsiz Decryptor alır
VMware ESXI sunucularını şifrelemek için 9 fidye yazılımı çeteleri tarafından kullanılan babuk kodu
Yeni kaktüs fidye yazılımı, antivirüsten kaçmak için kendini şifreliyor
Akira ile tanışın - İşletmeyi hedefleyen yeni bir fidye yazılımı operasyonu
Fidye Yazılımında Hafta - 5 Mayıs 2023 - Kamu Sektörünü Hedefleme
Kaynak: Bleeping Computer