خبر خوش برای قربانیان باج‌افزار Lorenz

شرکت امنیت سایبری هلندی Tesorion ابزاری را ارائه کرده که قربانیان باج‌افزار Lorenz را قادر به بازیابی رایگان برخی از فایل‌های رمزگذاری شده می‌کند.

Lorenz از جمله باج‌افزارهایی است که در جریان حملات موسوم به هدفمند (Targeted) مورد استفاده مهاجمان خود قرار می‌گیرد و تکنیک‌ها، تاکتیک‌ها و روال‌های (TTP) بکار گرفته شده برای انتشار آن در هر حمله می‌تواند متفاوت باشد. علاوه برای رمزگذاری فایل‌ها، حداقل در 12 مورد مهاجمان ادعا کرده‌اند که داده‌های قربانیان خود را سرقت نیز کرده‌اند.

ابزار ارائه شده از سوی Tesorion در اینجا قابل دریافت است. با این توضیح که ابزار مذکور، امکان رمزگشایی نه همه فایل‌ها که برخی از آنها را فراهم می‌کند.

به گفته یکی از محققان Tesorion، دامنه فایل‌هایی که این ابزار قادر به رمزگشایی آنهاست محدود به فایل‌های با ساختار شناخته شده نظیر فایل‌های Office، فایل‌های PDF و برخی فایل‌های با قالب گرافیکی یا چندرسانه‌ای است.

در هر صورت علیرغم آن که همه فایل‌ها توسط ابزار مذکور قابل رمزگشایی نیستند اما امکان بازیابی همین فایل‌ها هم برای بسیاری از قربانیان خبر خوشی خواهد بود.

برای مثال، همان‌طور که تصویر زیر نشان می‌دهد در حالی که ابزار، انواع فایل‌های شناخته‌شده نظیر XLS و XLSX را بدون مشکل رمزگشایی کرده اما موفق به بازگردانی انواع فایل‌های ناشناخته یا با ساختار غیرمعمول نشده است.

به گزارش شرکت مهندسی شبکه گستر، بررسی محققان Tesorion نشان می‌دهد که فرایند رمزگذاری Lorenz حاوی باگی است که در عمل موجب معدوم شدن همیشگی بخشی از فایل در شرایطی خاص می‌شود.

جزییات بیشتر  در خصوص باج‌افزار Lorenz در گزارش زیر که از سوی Tesorion منتشر شده قابل مطالعه است:

https://www.tesorion.nl/en/posts/lorenz-ransomware-analysis-and-a-free-decryptor/