انتشار کلید رمزگشایی Ragnarok در پی تعطیلی این باجافزار
گردانندگان Ragnarok ضمن توقف فعالیتهای باجافزاری خود، کلید اصلی آن را که قابلیت رمزگشایی فایلهای رمزگذاری شده را دارد، بهصورت عمومی منتشر کردهاند. مهاجمان هیچ توضیحی در این خصوص ندادهاند و به طور ناگهانی، در سایت نشت داده خود، دستورالعمل کوتاه نحوه رمزگشایی فایلها را جایگزین تمام اطلاعات مربوط به این قربانیان که پیشتر در سایت مذکور به اشتراک گذاشته بودند، کردند. در سایت نشت داده آنها، صرفاً متن کوتاهی به همراه کلید اصلی و فایلهای باینری مربوطه جهت رمزگشایی پیوست شده است.
با نگاهی به این سایت، به نظر میرسد که تعطیلی این باجافزار، از قبل برنامهریزی نشده است و فقط همه اطلاعات مربوط به قربانیان را حذف و گروه خود را تعطیل کردهاند.
به نقل از پایگاه اینترنتی Bleeping Computer و سایت نشت داده، در بازه زمانی 16 تیر و 25 مرداد، 12 قربانی توسط باجافزارRagnarok ، مورد هدف قرار گرفتهاند.
گردانندگان باجافزار تلاش نمودند با تهدید افشای عمومی فایلهای سرقت شده در سایت نشت داده خود، قربانیان را مجبور به پرداخت باج کنند. این قربانیان در کشورهای مختلفی نظیر فرانسه، استونی، سریلانکا، ترکیه، تایلند، ایالت متحده، مالزی، هنگ کنگ، اسپانیا و ایتالیا هستند و در بخشهای مختلف اعم از تولید تا خدمات حقوقی فعالیت میکنند.
یکی از محققان امنیتی، ادعا نمود که به صورت تصادفی فایلی را توسط کلیدی که این باجافزار منتشر کرده، رمزگشایی نموده است.
وی همچنین اظهار نمود که میتوان از آن کلید برای باز کردن قفل فایلها با پسوندهای مختلف باجافزار Ragnarok استفاده نمود و این قابلیت، این ابزار را به یک رمزگشای اصلی تبدیل کرده است.
در حال حاضر یک رمزگشای عمومی برای باجافزار Ragnarok در دست ساخت است، که به زودی توسط شرکت امیسافت (Emisoft Ltd) که در زمینه رمزگشایی دادههای قربانیان باجافزار، فعالیت میکند، در اختیار قربانیان قرار میگیرد.
گروه باجافزاری Ragnarok حداقل از ژانویه 2020 وجود داشته و دهها قربانی را از طریق سوءاستفاده از آسیب پذیری Citrix ADC مورد هدف قرار داده است.
Ragnarok تنها باجافزاری نیست که در سال جاری میلادی کلید رمزگشایی آن منتشر شده است. در ادامه فهرست نمونههای دیگری که کلید آنها به صورت عمومی منتشر شده، ذکر شده است:
- فعالیت گروه باجافزاری Ziggy در ماه فوریه متوقف شد و گردانندگان آن یک فایل با 922 کلید را به اشتراک گذاشتند.
- در ماه می، باجافزار Conti یک رمزگشای رایگان برای مرکز خدماتدهی بخش سلامت ایرلند (Irish Health Service Executive) منتشر نمود.
- فعالیت باجافزار Avaddon در ماه ژوئن متوقف شد و سپس کلیدهای رمزگشایی آن را ارائه داد.
- گردانندگان باجافزار SynAck به El_Cometa تغییر نام دادند و در جریان این انتقال، کلیدهای اصلی رمزگشایی را منتشر کردند.
همچنین گاهی اوقات محققان، همانطور که در حمله Kaseya شاهد این موضوع بودیم، رمزگشایی را برای باجافزارها ارائه کردند که منشاء آنها کاملاً نامشخص است.