Bộ giải mã ransomware 'White Phoenix' mới cho phép nạn nhân khôi phục một phần các tệp bị mã hóa bởi các chủng ransomware sử dụng mã hóa gián đoạn.
Mã hóa gián đoạn là một chiến lược được sử dụng bởi một số nhóm ransomware luân phiên giữa mã hóa và không mã hóa khối dữ liệu. Phương pháp này cho phép một tệp được mã hóa nhanh hơn nhiều trong khi nạn nhân vẫn không sử dụng được dữ liệu.
Vào tháng 9 năm 2022, Sentinel Labs đã báo cáo rằng mã hóa gián đoạn đang thu hút được sự chú ý trong không gian ransomware, với tất cả các RaaS lớn đều cung cấp mã hóa này ít nhất như một tùy chọn cho các chi nhánh và BlackCat/ALPHV dường như có cách triển khai tinh vi nhất.
Hạn chế thực tế
Các nhà phân tích báo cáo rằng công cụ khôi phục dữ liệu tự động của họ sẽ hoạt động tốt đối với các loại tệp được đề cập được mã hóa bởi các chủng ransomware sau:
Tuy nhiên, cần lưu ý rằng không phải trường hợp nào Phượng hoàng trắng cũng cho kết quả tốt, ngay cả khi nó được hỗ trợ về mặt lý thuyết.
Ví dụ: nếu một phần lớn tệp đã được mã hóa, bao gồm cả các thành phần quan trọng của nó, thì dữ liệu được khôi phục có thể không đầy đủ hoặc vô dụng. Do đó, hiệu quả của công cụ có liên quan trực tiếp đến mức độ hư hỏng của tệp.
Đối với trường hợp văn bản được lưu trữ dưới dạng đối tượng CMAP trong tệp PDF, chỉ có thể khôi phục nếu cả văn bản và đối tượng CMAP đều không được mã hóa, ngoại trừ một số trường hợp hiếm hoi khi mã hóa hex khớp với giá trị ký tự gốc.
BleepingComputer đã thử nghiệm White Phoenix với một mẫu nhỏ tệp PDF được mã hóa bằng ALPHV và tệp PPTX và DOCX được mã hóa bằng Play và không thể khôi phục bất kỳ dữ liệu nào bằng công cụ này.
Tuy nhiên, CyberArk giải thích rằng điều này có thể do mã hóa không liên tục không được sử dụng trong các cuộc tấn công mà chúng tôi nhận được mẫu từ đó hoặc các tệp được mã hóa quá nặng nên không thể phân tích cú pháp chính xác.
"Tùy thuộc vào mẫu mã độc tống tiền cụ thể đang được sử dụng, các kích thước tệp khác nhau có thể bị mã hóa quá mức để khôi phục dữ liệu. Nếu không thấy các ký tự sau trong tệp, tệp đó có thể đã bị mã hóa hoàn toàn và White Phoenix sẽ không thể trợ giúp. " CyberArk nói với BleepingComputer.
Để White Phoenix hoạt động chính xác, các định dạng Zip/Office phải chứa chuỗi "PK\x03\x04" trong tệp để được hỗ trợ. Ngoài ra, các tệp PDF cần chứa các chuỗi "0 obj" và "endobj" để được phục hồi một phần.
Nếu White Phoenix không thể tìm thấy các chuỗi này, nó sẽ thông báo rằng loại tệp không được hỗ trợ, như minh họa bên dưới trong các thử nghiệm giới hạn của chúng tôi.
Kiểm tra White Phoenix với tệp được mã hóa Play
Mặc dù bộ giải mã này có thể không hoạt động với tất cả các tệp, nhưng nó có thể rất hữu ích cho nạn nhân khi cố gắng khôi phục "một số" dữ liệu từ các tệp quan trọng.
CyberArk mời tất cả các nhà nghiên cứu bảo mật tải xuống và dùng thử công cụ, đồng thời tham gia nỗ lực cải thiện công cụ và giúp mở rộng hỗ trợ cho nhiều loại tệp và chủng ransomware hơn.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.