A CyberArk criou uma versão online do 'White Phoenix', um decodificador de ransomware de código aberto que visa operações que usam criptografia intermitente.
A empresa anunciou hoje que, embora a ferramenta já estivesse disponível gratuitamente através do GitHub como um projeto em Python, eles sentiram que uma versão online era necessária para as vítimas de ransomware menos experientes em tecnologia que não sabem como trabalhar com o código.
Usar o White Phoenix online é tão simples quanto enviar arquivos, clicar no botão "recuperar" e dar algum tempo para que a ferramenta restaure o que puder.
Atualmente, a ferramenta suporta PDFs, arquivos de documentos Word e Excel, ZIPs e PowerPoint.
Além disso, a versão online tem um limite de tamanho de arquivo de 10MB, então se você está procurando decodificar arquivos maiores ou máquinas virtuais (VMs), a versão do GitHub é a única alternativa.
A criptografia intermitente é um método usado por muitas operações de ransomware para acelerar a criptografia dos dispositivos, encriptando apenas parcialmente os arquivos das vítimas.
As variações atuais de ransomware que utilizam a criptografia intermitente incluem Blackcat/ALPHV, Play, Qilin/Agenda, BianLian e DarkBit.
Portanto, o White Phoenix só pode ajudar as vítimas atingidas por essas variações.
Usando criptografia intermitente, os atores da ameaça podem acelerar seus ataques enquanto ainda deixam as vítimas sem uma maneira de restaurar seus dados sem pagar.
No entanto, a criptografia intermitente vem com uma fraqueza, pois deixa grandes blocos de dados não criptografados em um arquivo.
Se esses blocos de dados não criptografados contiverem informações úteis, especialmente no início e no final do arquivo, as chances de reconstruir e restaurar o arquivo sem pagar por um decodificador aumentam.
O White Phoenix tenta recuperar o texto nos documentos concatenando partes não criptografadas e revertendo a codificação hexadecimal e a embaralhamento CMAP (mapeamento de caracteres).
O White Phoenix é basicamente uma ferramenta que automatiza a restauração manual utilizada por especialistas em restauração de dados, então, dependendo do tipo de arquivo e do ransomware, o decodificador pode não funcionar muito bem.
A CyberArk informou anteriormente para o BleepingComputer que certas strings precisam ser legíveis nos arquivos dependendo do tipo para que o decodificador funcione corretamente.
Por exemplo, arquivos ZIP devem conter a string "PK\x03\x04", e os PDFs precisam conter "0 obj" e "endobj."
Para PDFs que contêm arquivos de imagem, a CyberArk sugere a seleção "Separate Files" para resultados mais confiáveis.
Mesmo que o White Phoenix não possa ajudar a restaurar sistemas inteiros, ainda pode ajudar a restaurar arquivos valiosos ou pelo menos recuperar alguns dados deles.
Atualmente, não há decodificadores funcionais para as famílias de ransomware mencionadas, o que torna as opções de restauração severamente limitadas, o que faz valer a pena tentar o White Phoenix.
Observe que se você está trabalhando com informações sensíveis, seria recomendável baixar o White Phoenix do GitHub e usá-lo localmente em vez de enviar documentos sensíveis para os servidores da CyberArk.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...