Cercetătorii au creat unelte de decriptare pentru două „ransomware”

Cercetătorii în securitate au oferit utilizatorilor în această săptămână unelte care îi pot ajuta să recupereze fișierele criptate de două programe ransomware relativ noi: Bart și PowerWare.

Cercetătorii Tyler Halfpop, Jacob Soo și Josh Grunzweig ai firmei de securitate Palo Alto Networks împreună cu o echipă separată formată din inginerii Jakub Kroustek de la AVG și Peter Conrad de la PkCrack au descoprit defecte ale programelor ransomware PowerWare și Bart care le permit utilizatorilor să își decripteze fișierele gratuit, scrie theregister.co.uk.

PowerWare este cunoscut și ca PoshCoder și a fost observat prima dată în luna martie, când a fost folosit în atacuri împotriva centrelor medicale. A ieșit în evidență pentru că a fost implementat în Windows PowerShell, un mediu creat pentru activitățile aplicațiilor administrative și de automatizarea sistemului, scrie mis-asia.com.

Cercetătorii de la Palo Alto Networks au descoperit recent că o nouă versiune a PowerWare imită programul ransomware Locky. Folosește o extensie .locky pentru fișierele criptate și afișează același mesaj de răscumpărare ca Locky.

Ransomware-ul Bart a apărut prima dată în iunie și criptează fișierele din interiorul arhivelor ZIP protejate de parole în loc să folosească metode de criptare sofisticate.

Fișierele criptate de Bart sunt ușor de identificat pentru că au extensia .bart.zip adăugată la numele original și la extensie.

Bart folosește parole lungi și complexe, dar cercetătorii AVG au găsit o metodă de a găsi parola prin atacuri cu forță brută. Unealta de decriptare a AVG are nevoie de măcar o copie neafectată a unui fișier care a fost criptat.