Group IB

Avast выпустила инструмент для восстановления файлов, зашифрованных HermeticRansom

05.03.2022
Avast выпустила инструмент для восстановления файлов, зашифрованных HermeticRansom

Компания Avast выпустила инструмент для восстановления файлов, зашифрованных вымогательским ПО HermeticRansom, которое использовалось в кибератаках на Украину в течение последних десяти дней. Украинские пользователи могут скачать его бесплатно с сайта Avast, сообщает SecurityLab.

Первые признаки распространения HermeticRansom обнаружили специалисты словацкой ИБ-компании ESET 23 февраля за несколько часов до входа российских войск на территорию Украины. Вымогатель доставлялся на атакуемые системы с компьютерным червем HermeticWizard и, скорее, играл роль приманки в атаке вайпера, а не использовался для вымогательства.

Специалисты Crowdstrike быстро выявили уязвимость в схеме шифрования HermeticRansom и предоставили скрипт для восстановления зашифрованных им файлов.

«Вымогатель содержит ошибки в реализации, из-за которых его шифрование медленное, и его можно взломать. Эти ошибки указывают на то, что автор вредоносного ПО либо неопытен в работе с языком Go, либо не удосужился протестировать его как следует, возможно, из-за недостатка времени, отведенного на разработку», - сообщили в Crowdstrike.

Хотя разработанный Crowdstrike скрипт надежный, в сложившейся ситуации воспользоваться им сможет далеко не каждый, поэтому компания Avast выпустила декриптор с удобным пользовательским интерфейсом.