أصدرت Avast برنامج فك التشفير المجاني لبرنامج HermeticRansom Ransomware لمساعدة أوكرانيا

 


قامت CISA ومكتب التحقيقات الفيدرالي مؤخرًا بتحذير المنظمات في أوكرانيا من برنامج HermeticWiper الضار الذي كان يستهدف أجهزة الكمبيوتر في المنظمات الأوكرانية لمحو البيانات.

يبدو أن أحد متغيرات البرامج الضارة HermeticWiper التي تم العثور عليها سابقًا هو نوع من برامج الفدية الضارة. اكتشفت مختبرات التهديد في Avast نوعًا جديدًا آخر من البرامج الضارة التي كانت مرتبطة بـ HermeticWiper.

وجد باحثو ESET أن البرنامج الضار كان ينتشر في جميع أنحاء أوكرانيا. ومع ذلك ، كان فك تشفيرها من أكبر الصعوبات. كان البرنامج الضار HermeticWiper مصحوبًا ببرنامج ضار آخر.

بعد مزيد من الدراسة ، وجدوا ثغرة في تلك البرامج الضارة. يمكن أيضًا استغلال هذه الثغرة لفك تشفير الملفات المتأثرة بالبرامج الضارة.

بمجرد أن يصيب هذا البرنامج الضار النظام ، فإنه يبحث عن الملفات والمجلدات التي تحتوي على بيانات قيمة لتشفيرها. تستهدف هذه البرامج الضارة على وجه التحديد امتدادات ملفات معينة كما هو موضح أدناه.

.docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .ppt. .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar. exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .Contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb

تحافظ البرامج الضارة على تشغيل الكمبيوتر من خلال عدم تشفير الملفات داخل ملفات البرنامج ومجلدات Windows. عندما يتم العثور على ملف بالتشفير المحدد ، يقوم برنامج الفدية بإنشاء مفتاح تشفير 32 بايت.

ر AES GCM وفي كتل تحتوي كل كتلة على 1048576 (0x100000). يتم تعيين الحد الأقصى لعدد الكتل إلى حد معدل يبلغ تسعة وستكون أية بيانات تتجاوز 9437184 (0x900000) بايت في نص عادي. بعد تشفير الملفات ، تقوم البرامج الضارة بعد ذلك بربطها بملف آخر يحتوي على مفتاح ملف RSA-2084 . يجب أن يحتوي تشفير RSA على مفتاح عام يتم تخزينه كسلسلة base64 في الملف الثنائي.

المصدر: أفاست

يتم توفير لواحق إضافية للملفات المشفرة. بمجرد أن تقوم البرامج الضارة بتشفير جميع الملفات ، يتم تخزين ملف read_me.html على سطح مكتب الكمبيوتر مع ذكر تفاصيل الاتصال لفك التشفير.

وجد الباحثون في Avast أنه أثناء عملية التشفير ، تخلق البرامج الضارة العديد من العمليات الفرعية التي تقوم بالتشفير الفعلي

أصدرت Avast برنامج فك تشفير مجاني لفك تشفير الملفات المشفرة بواسطة برامج الفدية الضارة.

استخدام برنامج Avast Decryptor

من أجل فك التشفير ، اتبع التعليمات الواردة أدناه

  1. قم بتنزيل وتثبيت برنامج Avast Decryptor.
  2. حدد محرك الأقراص حيث تريد فك تشفير الملفات.
  1. هناك أيضًا خيار آخر للاحتفاظ بنسخة احتياطية من الملفات المشفرة. يمكن للمستخدمين استخدام هذا الخيار للاحتفاظ بنسخة احتياطية من الملفات قبل فك التشفير كإجراء أمان. ثم انقر فوق "فك تشفير".
.

0 تعليقات