به گزارش شرکت مهندسی شبکه گستر محققان موفق به ساخت دو ابزار برای باز گرداندن فایلهای رمزگذاری شده توسط نسخههای مختلف باجافزارهای InsaneCrypt و HiddenTear شدهاند.
InsaneCrypt که با نام Everbe نیز شناخته میشود بر اساس یک پروژه کد-باز (Open-source) توسعه داده شده و تا کنون نسخههای متعددی از آن عرضه شده است. اکنون این امکان برای قربانیان هر یک از نسخههای زیر از باجافزار InsaneCrypt فراهم شده تا با استفاده از این ابزار فایلهای رمزگذاری شده را به حالت اولیه بازگردانند.
insane, DEUSCRYPT, deuscrypt, Tornado, twist, everbe, embrace, pain, Volcano
HiddenTear دیگر باج افزاری است که ابزار رمزگشایی آن از روز گذشته در دسترس قرار گرفته است.
HiddenTear عنوان پروژهای است که کد کامل آن برای مدتی بر روی سایت GitHub به طور رایگان در دسترس همه قرار گرفته بود. این بهاشتراکگذاری منجر به ظهور نسخههای متعددی از این باجافزار گردید.
ابزار عرضه شده که در اینجا قابل دسترس است قادر به رمزگشایی نسخههای زیر از خانواده باجافزارهای HiddenTear است.
8lock8, AnonCrack, Assembly, Balbaz, BankAccountSummary, Bansomqare Wanna, Blank, BloodJaws, Boris, CerberTear, CryptConsole2, CryptoKill, CyberResearcher, Data_Locker, Dev-Nightmare 2xx9, Diamond, Domino, Donut, dotRansom, Executioner, Executioner2, Executioner3, Explerer, FlatChestWare, Frog, F**k_You, Gendarmerie, Horros, JobCrypter, Jodis, J-Ransomware, J-Want-To-Cry, Karmen, Kraken 2.0, Kratos, LanRan, Lime, Lime-HT, Luv, Matroska, MireWare, MoonCrypter, MTC, Nobug, Nulltica, onion3cry, OpsVenezuela, Paul, PayOrDie, Pedo, PGPSnippet, PooleZoor, Pransomware, Predator, Qwerty, Random6, Random6 2, Randion, RansomMine, Rootabx, Saramat, Shrug, ShutUpAndDance, Sorry, Symbiom, TearDr0p, Technicy, The Brotherhood, TheZone, tlar, TotalWipeOut, TQV, Ton, VideoBelle, WhiteRose, WhiteRose2, Zalupaid, ZenCrypt, Zenis, ZeroRansom, Zorro
از جمله نمونههای قابل رمزگشایی توسط ابزار مذکور، نسخه معروف به PooleZoor است که در اواسط تابستان کاربران ایرانی را هدف قرار داده بود.
توضیح اینکه بهمنظور شناسایی کلید رمزگذاری نیاز است که یک فایل رمز شده توسط باجافزار به همراه فایل اصلی آن (رمزگذاری نشده) به ابزارهای اشاره شده در این خبر معرفی شود. برای این کار میتوان از یکی از تصاویر پیشفرض Windows بر روی دستگاه آلوده به همراه نمونه سالم آن بر روی یک دستگاه غیرآلوده استفاده کرد.