Especialistas em cibersegurança lançaram um decodificador para uma cepa de ransomware chamada FunkSec, permitindo que as vítimas recuperem o acesso aos seus arquivos gratuitamente.
"Como o ransomware agora é considerado extinto, lançamos o decodificador para download público", disse o pesquisador da Gen Digital, Ladislav Zezula.
O FunkSec, que surgiu no final de 2024, afetou 172 vítimas, de acordo com dados do Ransomware.live.
A grande maioria das entidades visadas estão localizadas nos EUA, Índia e Brasil, com tecnologia, governo e educação sendo os três principais setores atacados pelo grupo.
Uma análise do FunkSec feita pela Check Point no início de janeiro encontrou indícios de que o encryptor foi desenvolvido com a assistência de ferramentas de inteligência artificial (AI).
O grupo não adicionou novas vítimas ao seu site de vazamento de dados desde 18 de março de 2025, sugerindo que o grupo pode não estar mais ativo.
Também se acredita que o grupo era composto por hackers inexperientes em busca de visibilidade e reconhecimento, ao carregar conjuntos de dados vazados associados a campanhas de hacktivismo anteriores.
O FunkSec foi criado usando Rust, uma linguagem de programação rápida e eficiente que agora é popular entre novos grupos de ransomware.
Outras famílias, como BlackCat e Agenda, também usam Rust para ajudar seus ataques a serem rápidos e evitar detecção.
O FunkSec depende da biblioteca orion-rs (versão 0.17.7) para criptografia, usando os algoritmos Chacha20 e Poly1305 para bloquear arquivos durante sua rotina.
"Este método baseado em hash garante a integridade dos parâmetros de criptografia: a chave de criptografia, nonce, comprimentos de bloco e os próprios dados criptografados", Zezula observou.
"Os arquivos são criptografados por blocos de 128 bytes, adicionando 48 bytes de metadados extras a cada bloco, o que significa que os arquivos criptografados são cerca de 37% maiores que os originais." A Gen Digital não divulgou como foi capaz de desenvolver um decodificador e se isso envolveu a exploração de uma fraqueza criptográfica que torna possível reverter o processo de criptografia.
O decodificador pode ser acessado via o projeto No More Ransom.
As vítimas que desejam recuperar seus dados devem primeiro confirmar que os arquivos criptografados correspondem à assinatura do FunkSec, normalmente identificada pela extensão .funksec ou preenchimento de metadados único.
O portal No More Ransom fornece passos básicos de uso, mas os administradores são aconselhados a fazer backup dos arquivos afetados antes de tentar a decodificação, em caso de recuperação parcial ou corrupção de arquivos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...