خبر خوش برای قربانیان باج‌افزار Thanatos

محققان شرکت سیسکو موفق به ساخت ابزاری برای بازگرداندن فایل‌های رمزگذاری شده توسط باج‌افزار Thanatos شده‌اند.

به گزارش شرکت مهندسی شبکه گستر، باج‌افزار Thanatos از محدود نمونه‌هایی است که به قربانیان خود اجاز می‌دهد تا مبلغ اخاذی شده را با ارزرمزهای مختلف نظیر بیت‌کوین‌کش، زی‌کش و ایتریم پرداخت کنند.

ضمن اینکه بر خلاف باج‌افزارهای رایج، عملیات رمزگذاری آن محدود به فایل‌های با پسوندهای خاص نبوده و عملاً تمامی فایل‌ها با هر پسوندی در خطر رمز شدن توسط Thanatos قرار دارند.

ایجاد کلید رمزگذاری جداگانه به ازای هر فایل – و نه به ازای هر دستگاه – از دیگر نکات برجسته در خصوص Thanatos است.

اما با وجود تمامی این ویژگی‌های پیشرفته، نویسندگان آن هیچ‌گونه مکانیزمی برای ذخیره و جمع‌آوری کلیدها در نظر نگرفته‌اند. بنابراین حتی در صورت پرداخت شدن باج، راهی برای در اختیار گرفتن این کلیدها وجود نخواهد داشت.

روش مورد استفاده نویسندگان Thanatos به‌منظور ایجاد کلید ایجاد عددی بر اساس زمان سپری شده پس از آخرین راه‌اندازی دستگاه آلوده است. محققان سیسکو نیز با مهندسی معکوس این منطق و با بهره‌گیری از سوابق ثبت شده در Windows Event Logs در کنار اجرای حملات موسوم به سعی‌وخطا (Brute-force) موفق به ساخت و عرضه ابزاری جهت استخراج کلید از روی دستگاه آلوده شده به باج‌افزار و رمزگشایی فایل‌ها شده‌اند.

این ابزار در لینک زیر قابل دریافت و استفاده است:

• https://github.com/Cisco-Talos/ThanatosDecryptor

مشروح گزارش شرکت سیسکو نیز در لینک زیر قابل دریافت و مطالعه است:

• https://blog.talosintelligence.com/2018/06/ThanatosDecryptor.html