Недавно две широко разрекламированные жертвы программ-вымогателей получили дешифратор, который работал слишком медленно.
Первым был Colonial Pipeline, который заплатил выкуп в размере 4,4 миллиона долларов за дешифратор после атаки вымогателя DarkSide .
Однако дешифратор был настолько медленным, что компания прибегла к восстановлению из резервных копий.
"Как только они получили платеж, хакеры предоставили оператору средство дешифрования для восстановления его отключенной компьютерной сети. Инструмент работал настолько медленно, что компания продолжала использовать собственные резервные копии для восстановления системы, - сказал один из людей, знакомых с компанией. Усилия сказаны ", - сообщает Bloomberg.
Последней жертвой стала HSE, национальная система здравоохранения Ирландии, которая подверглась атаке программы-вымогателя Conti, но отказалась платить выкуп.
Вероятно, поняв, что они допустили ошибку при нацеливании на правительственное учреждение, они выпустили бесплатный дешифратор для атаки .
Однако тестирование дешифратора показало, что он слишком медленный, поэтому HSE работала с новозеландской фирмой по кибербезопасности Emsisoft, чтобы использовать их дешифратор, который, как утверждается, работает вдвое быстрее .
Универсальный дешифратор Emsisoft
Узнав о дешифраторе Emsisoft, BleepingComputer обратился к техническому директору Emsisoft Фабиану Восару, чтобы узнать больше о том, как HSE использует его.Хотя Wosar отказался поделиться информацией о своей работе с HSE, он объяснил, что они создали свой «Universal Decryptor» после того, как операции вымогателей сделали ужасную работу при расшифровке файлов.
Например, у дешифратора вымогателя Ryuk были проблемы с расшифровкой больших файлов , что приводило к повреждению данных. Точно так же ошибка в дешифраторе Babuk Locker вызвала потерю данных при расшифровке серверов ESXi.
В дополнение к ошибкам, Восар сообщил BleepingComputer, что дешифраторы операций вымогателей «ужасающе медленны», что делает их намного менее эффективными, чем восстановление файлов из резервных копий.
Хотя дешифратор Emsisoft был разработан для обеспечения безопасности данных, он также намного быстрее, чем дешифратор банды вымогателей. Поскольку инструмент разработан известной и уважаемой компанией, занимающейся кибербезопасностью, он также устраняет необходимость проверки дешифратора злоумышленника на предмет злонамеренного поведения.
Дешифратор Emsisoft против дешифратора угроз
«Обычно мы сокращаем выходные. Потому что не нужно реверсировать, чтобы убедиться, что это безопасно, нет резервных копий, которые нужно делать в первую очередь, проще развертывание, лучшие журналы, и в конечном итоге мы работаем намного, намного быстрее», - сказал Восар BleepingComputer.
Восар также заявил, что жертвы могут быть затронуты несколькими атаками программ-вымогателей одновременно, что побудило Emsisoft адаптировать свой дешифратор,
чтобы иметь возможность загружать несколько ключей дешифрования из разных семейств программ-вымогателей и расшифровывать файлы за один раз.
«Расшифровщик поддерживает более 50 семейств и основных разновидностей программ-вымогателей», - пояснил Восар.
Тестирование дешифратора Emsisoft
Wosar согласился разрешить BleepingComputer протестировать их дешифратор на общедоступных образцах Conti и DarkSide и их соответствующих дешифраторов, ранее опубликованных на сайтах анализа вредоносных программ.В рамках наших тестов мы использовали виртуальную машину Windows 7 2 CPU с небольшим диском 44,8 ГБ и 35,1 ГБ используемого пространства.
Хотя эти спецификации сильно отличаются от тех, что использовались бы в реальных сценариях, они все же позволяют нам оценить разницу в скорости между дешифратором Emsisoft и теми, которые предоставляются бандами вымогателей.
В нашем первом тесте мы зашифровали нашу виртуальную машину с помощью программы-вымогателя Conti, что заняло примерно девять минут.
В то время как предоставленный Conti дешифратор расшифровывал файлы за 22 минуты, дешифратор Emsisoft был примерно на 41% быстрее, чем дешифратор злоумышленника, поскольку он выполнял свою работу всего за 13 минут, экономя 9 минут.
Расшифровка зашифрованных файлов Conti с помощью дешифратора Emsisoft
Затем мы провели аналогичный тест с образцом программы-вымогателя DarkSide, который занял всего шесть минут, чтобы зашифровать наше устройство.
Использование дешифратора DarkSide заняло 29 минут, чтобы расшифровать наши тестовые файлы, в то время как дешифратор Emsisoft занял всего 18 минут. Это делает дешифратор Emsisoft на 37% быстрее в наших тестах, но Wosar заявляет, что машины с большим количеством процессоров будут работать лучше.
Расшифровщик программ-вымогателей DarkSide
Поскольку жертвам обычно приходится расшифровывать тысячи устройств и терабайты данных, скорость расшифровки на 37–41% является значительной и может сократить дни, если не недели, на восстановление.
Emsisoft взимает плату за свои услуги по восстановлению, где они анализируют конкретную программу-вымогатель и создают настраиваемые дешифраторы, но оказывает бесплатную поддержку организациям в области здравоохранения .
Перевод - Google
Bleeping Computer
Последнее редактирование модератором:
