Avast выпустила инструмент для восстановления файлов, зашифрованных HermeticRansom

Компания Avast выпустила инструмент для восстановления файлов, зашифрованных вымогательским ПО HermeticRansom, которое использовалось в кибератаках на Украину в течение последних десяти дней. Украинские пользователи могут скачать его бесплатно с сайта Avast, сообщает SecurityLab.

Первые признаки распространения HermeticRansom обнаружили специалисты словацкой ИБ-компании ESET 23 февраля за несколько часов до входа российских войск на территорию Украины. Вымогатель доставлялся на атакуемые системы с компьютерным червем HermeticWizard и, скорее, играл роль приманки в атаке вайпера, а не использовался для вымогательства.

Специалисты Crowdstrike быстро выявили уязвимость в схеме шифрования HermeticRansom и предоставили скрипт для восстановления зашифрованных им файлов.

«Вымогатель содержит ошибки в реализации, из-за которых его шифрование медленное, и его можно взломать. Эти ошибки указывают на то, что автор вредоносного ПО либо неопытен в работе с языком Go, либо не удосужился протестировать его как следует, возможно, из-за недостатка времени, отведенного на разработку», - сообщили в Crowdstrike.

Хотя разработанный Crowdstrike скрипт надежный, в сложившейся ситуации воспользоваться им сможет далеко не каждый, поэтому компания Avast выпустила декриптор с удобным пользовательским интерфейсом.