Выпущен инструмент расшифровки PyLocky Ransomware — разблокировка файлов бесплатно

Если ваш компьютер был заражен PyLocky Ransomware, и вы ищете бесплатный инструмент для расшифровки вымогателей, чтобы разблокировать или расшифровать ваши файлы — ваш поиск может закончиться здесь.

Исследователь безопасности Майк Баутиста (Mike Bautista) из подразделения кибер-разведки Talos Cisco выпустил бесплатный инструмент для расшифровки, который позволяет жертвам, зараженным программным обеспечением PyLocky, бесплатно разблокировать свои зашифрованные файлы без выплаты выкупа.

Инструмент дешифрования работает для всех, но у него есть огромное ограничение — для успешного восстановления ваших файлов вы, должно быть, захватили исходный сетевой трафик (файл PCAP) между программным обеспечением вымогателей PyLocky и его сервером управления и контроля (C2), который обычно никто нарочно не использует.

Это связано с тем, что исходящее соединение, когда вымогатель связывается с сервером C2 и передает информацию, связанную с ключом дешифрования, содержит строку, содержащую как вектор инициализации (IV), так и пароль, который вымогатель генерирует случайным образом для шифрования файлов.

Впервые обнаруженный исследователями Trend Micro в июле прошлого года, вымогатель PyLocky обнаружил распространение через спам-сообщения, как и большинство вредоносных кампаний, предназначенных для того, чтобы обманным путем заставить жертву использовать вредоносную полезную нагрузку PyLocky.

Чтобы избежать обнаружения программным обеспечением безопасности песочницы, вымогатель PyLocky спит в течение 999,999 секунд, или чуть более 11 с половиной дней, если общий видимый объем памяти уязвимой системы составляет менее 4 ГБ.

Процесс шифрования файлов выполняется только в том случае, если он больше или равен 4 ГБ.

Написанный на python и упакованный с PyInstaller, вымогатель PyLocky сначала конвертирует каждый файл в формат base64, а затем использует случайно сгенерированный вектор инициализации (IV) и пароль для шифрования всех файлов на зараженном компьютере.

PyLocky в первую очередь предназначался для компаний в Европе, особенно во Франции, хотя записки с требованием выкупа были написаны на английском, французском, корейском и итальянском языках, что позволило предположить, что он также может быть нацелен на пользователей, говорящих на корейском и итальянском языках.

Вы можете бесплатно скачать инструмент расшифровки PyLocky Ransomware с GitHub и запустить его на своем зараженном компьютере с Windows.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40