شرکت امنیت سایبری هلندی Tesorion ابزاری را ارائه کرده که قربانیان باجافزار Lorenz را قادر به بازیابی رایگان برخی از فایلهای رمزگذاری شده میکند.
Lorenz از جمله باجافزارهایی است که در جریان حملات موسوم به هدفمند (Targeted) مورد استفاده مهاجمان خود قرار میگیرد و تکنیکها، تاکتیکها و روالهای (TTP) بکار گرفته شده برای انتشار آن در هر حمله میتواند متفاوت باشد. علاوه برای رمزگذاری فایلها، حداقل در 12 مورد مهاجمان ادعا کردهاند که دادههای قربانیان خود را سرقت نیز کردهاند.
ابزار ارائه شده از سوی Tesorion در اینجا قابل دریافت است. با این توضیح که ابزار مذکور، امکان رمزگشایی نه همه فایلها که برخی از آنها را فراهم میکند.
به گفته یکی از محققان Tesorion، دامنه فایلهایی که این ابزار قادر به رمزگشایی آنهاست محدود به فایلهای با ساختار شناخته شده نظیر فایلهای Office، فایلهای PDF و برخی فایلهای با قالب گرافیکی یا چندرسانهای است.
در هر صورت علیرغم آن که همه فایلها توسط ابزار مذکور قابل رمزگشایی نیستند اما امکان بازیابی همین فایلها هم برای بسیاری از قربانیان خبر خوشی خواهد بود.
برای مثال، همانطور که تصویر زیر نشان میدهد در حالی که ابزار، انواع فایلهای شناختهشده نظیر XLS و XLSX را بدون مشکل رمزگشایی کرده اما موفق به بازگردانی انواع فایلهای ناشناخته یا با ساختار غیرمعمول نشده است.
به گزارش شرکت مهندسی شبکه گستر، بررسی محققان Tesorion نشان میدهد که فرایند رمزگذاری Lorenz حاوی باگی است که در عمل موجب معدوم شدن همیشگی بخشی از فایل در شرایطی خاص میشود.
جزییات بیشتر در خصوص باجافزار Lorenz در گزارش زیر که از سوی Tesorion منتشر شده قابل مطالعه است:
https://www.tesorion.nl/en/posts/lorenz-ransomware-analysis-and-a-free-decryptor/