خبر خوش برای قربانیان باجافزار Thanatos
محققان شرکت سیسکو موفق به ساخت ابزاری برای بازگرداندن فایلهای رمزگذاری شده توسط باجافزار Thanatos شدهاند.
به گزارش شرکت مهندسی شبکه گستر، باجافزار Thanatos از محدود نمونههایی است که به قربانیان خود اجاز میدهد تا مبلغ اخاذی شده را با ارزرمزهای مختلف نظیر بیتکوینکش، زیکش و ایتریم پرداخت کنند.
ضمن اینکه بر خلاف باجافزارهای رایج، عملیات رمزگذاری آن محدود به فایلهای با پسوندهای خاص نبوده و عملاً تمامی فایلها با هر پسوندی در خطر رمز شدن توسط Thanatos قرار دارند.
ایجاد کلید رمزگذاری جداگانه به ازای هر فایل – و نه به ازای هر دستگاه – از دیگر نکات برجسته در خصوص Thanatos است.
اما با وجود تمامی این ویژگیهای پیشرفته، نویسندگان آن هیچگونه مکانیزمی برای ذخیره و جمعآوری کلیدها در نظر نگرفتهاند. بنابراین حتی در صورت پرداخت شدن باج، راهی برای در اختیار گرفتن این کلیدها وجود نخواهد داشت.
روش مورد استفاده نویسندگان Thanatos بهمنظور ایجاد کلید ایجاد عددی بر اساس زمان سپری شده پس از آخرین راهاندازی دستگاه آلوده است. محققان سیسکو نیز با مهندسی معکوس این منطق و با بهرهگیری از سوابق ثبت شده در Windows Event Logs در کنار اجرای حملات موسوم به سعیوخطا (Brute-force) موفق به ساخت و عرضه ابزاری جهت استخراج کلید از روی دستگاه آلوده شده به باجافزار و رمزگشایی فایلها شدهاند.
این ابزار در لینک زیر قابل دریافت و استفاده است:
مشروح گزارش شرکت سیسکو نیز در لینک زیر قابل دریافت و مطالعه است: