O decodificador de ransomware online ajuda a recuperar arquivos parcialmente criptografados
31 de Janeiro de 2024

A CyberArk criou uma versão online do 'White Phoenix', um decodificador de ransomware de código aberto que visa operações que usam criptografia intermitente.

A empresa anunciou hoje que, embora a ferramenta já estivesse disponível gratuitamente através do GitHub como um projeto em Python, eles sentiram que uma versão online era necessária para as vítimas de ransomware menos experientes em tecnologia que não sabem como trabalhar com o código.

Usar o White Phoenix online é tão simples quanto enviar arquivos, clicar no botão "recuperar" e dar algum tempo para que a ferramenta restaure o que puder.

Atualmente, a ferramenta suporta PDFs, arquivos de documentos Word e Excel, ZIPs e PowerPoint.

Além disso, a versão online tem um limite de tamanho de arquivo de 10MB, então se você está procurando decodificar arquivos maiores ou máquinas virtuais (VMs), a versão do GitHub é a única alternativa.

A criptografia intermitente é um método usado por muitas operações de ransomware para acelerar a criptografia dos dispositivos, encriptando apenas parcialmente os arquivos das vítimas.

As variações atuais de ransomware que utilizam a criptografia intermitente incluem Blackcat/ALPHV, Play, Qilin/Agenda, BianLian e DarkBit.

Portanto, o White Phoenix só pode ajudar as vítimas atingidas por essas variações.

Usando criptografia intermitente, os atores da ameaça podem acelerar seus ataques enquanto ainda deixam as vítimas sem uma maneira de restaurar seus dados sem pagar.

No entanto, a criptografia intermitente vem com uma fraqueza, pois deixa grandes blocos de dados não criptografados em um arquivo.

Se esses blocos de dados não criptografados contiverem informações úteis, especialmente no início e no final do arquivo, as chances de reconstruir e restaurar o arquivo sem pagar por um decodificador aumentam.

O White Phoenix tenta recuperar o texto nos documentos concatenando partes não criptografadas e revertendo a codificação hexadecimal e a embaralhamento CMAP (mapeamento de caracteres).

O White Phoenix é basicamente uma ferramenta que automatiza a restauração manual utilizada por especialistas em restauração de dados, então, dependendo do tipo de arquivo e do ransomware, o decodificador pode não funcionar muito bem.

A CyberArk informou anteriormente para o BleepingComputer que certas strings precisam ser legíveis nos arquivos dependendo do tipo para que o decodificador funcione corretamente.

Por exemplo, arquivos ZIP devem conter a string "PK\x03\x04", e os PDFs precisam conter "0 obj" e "endobj."

Para PDFs que contêm arquivos de imagem, a CyberArk sugere a seleção "Separate Files" para resultados mais confiáveis.

Mesmo que o White Phoenix não possa ajudar a restaurar sistemas inteiros, ainda pode ajudar a restaurar arquivos valiosos ou pelo menos recuperar alguns dados deles.

Atualmente, não há decodificadores funcionais para as famílias de ransomware mencionadas, o que torna as opções de restauração severamente limitadas, o que faz valer a pena tentar o White Phoenix.

Observe que se você está trabalhando com informações sensíveis, seria recomendável baixar o White Phoenix do GitHub e usá-lo localmente em vez de enviar documentos sensíveis para os servidores da CyberArk.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...