Скачать Avast Decryptor AES_NI
На фоне стремительного распространения троянов-шифровальщиков, вендоры вынуждены достойно отвечать на новые вызовы. Компания Avast анонсировала новый инструмент дешифрования, который позволяет восстановить доступ к файлам, заблокированным шифровальщиком AES_NI. Скорее всего, при его создании были применены опубликованные несколько дней назад дампы закрытых мастер-ключей шифровальщика.
Это семейство шифровальщиков было впервые обнаружено в декабре 2016 года, и с тех пор было найдено множество вариантов угрозы. Если файлы атаковал именно AES_NI, то зашифрованные версии будут иметь одно из следующих расширений: example.docx.aes_ni, example.docx.aes256 или example.docx.aes_ni_0day.
Как поясняют исследователи Avast, шифровальщик генерирует ключ сеанса RSA для каждой зараженной машины. Этот ключ сеанса затем зашифровывается и сохраняется в отдельном файле в папке “Program Data”.
Avast сообщает в официальном блоге: “В отличие от остальных зашифрованных файлов, AES-ключ файла должен быть зашифрован с помощью закрытого ключа, который был опубликован 25 мая 2017 года пользователем Twitter под ником @AES___NI”.
Уже известно, что, данный пользователь Twitter является автором вредоносной программы. Он раскрыл данную информацию из-за опасения, что кто-то умышленно пытается его подставить, выдав за оператора шифровальщика XData, который использует схожий с AES_NI исходный код.
Как работает AES_NI?
При шифровании файла, троян-вымогатель генерирует случайный 128-байтовый номер для каждого файла, который затем сокращается до 256-битного ключа AES и используется для шифрования данных файла. Затем ключ шифрования AES сохраняется в конце файла вместе с идентификатором пользователя и именем исходного файла.
Теперь жертвы шифровальщика могут восстановить доступ к своим данным без оплаты выкупа. Конечно это довольно странный шаг для киберпреступника - публично выложить дамп мастер-ключей. В любом случае, теперь одной угрозой стало меньше, ну или, по крайней мере, она стала не такой опасной при наличии инструмента дешифрования.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России