Если ваш компьютер был заражен PyLocky Ransomware, и вы ищете бесплатный инструмент для расшифровки вымогателей, чтобы разблокировать или расшифровать ваши файлы – ваш поиск может закончиться здесь.
Исследователь безопасности Майк Баутиста (Mike Bautista) из подразделения кибер-разведки Talos Cisco выпустил бесплатный инструмент для расшифровки, который позволяет жертвам, зараженным программным обеспечением PyLocky, бесплатно разблокировать свои зашифрованные файлы без выплаты выкупа.
Инструмент дешифрования работает для всех, но у него есть огромное ограничение – для успешного восстановления ваших файлов вы, должно быть, захватили исходный сетевой трафик (файл PCAP) между программным обеспечением вымогателей PyLocky и его сервером управления и контроля (C2), который обычно никто нарочно не использует.
Это связано с тем, что исходящее соединение, когда вымогатель связывается с сервером C2 и передает информацию, связанную с ключом дешифрования, содержит строку, содержащую как вектор инициализации (IV), так и пароль, который вымогатель генерирует случайным образом для шифрования файлов.
Впервые обнаруженный исследователями Trend Micro в июле прошлого года, вымогатель PyLocky обнаружил распространение через спам-сообщения, как и большинство вредоносных кампаний, предназначенных для того, чтобы обманным путем заставить жертву использовать вредоносную полезную нагрузку PyLocky.
Чтобы избежать обнаружения программным обеспечением безопасности песочницы, вымогатель PyLocky спит в течение 999,999 секунд, или чуть более 11 с половиной дней, если общий видимый объем памяти уязвимой системы составляет менее 4 ГБ.
Процесс шифрования файлов выполняется только в том случае, если он больше или равен 4 ГБ.
Написанный на python и упакованный с PyInstaller, вымогатель PyLocky сначала конвертирует каждый файл в формат base64, а затем использует случайно сгенерированный вектор инициализации (IV) и пароль для шифрования всех файлов на зараженном компьютере.
PyLocky в первую очередь предназначался для компаний в Европе, особенно во Франции, хотя записки с требованием выкупа были написаны на английском, французском, корейском и итальянском языках, что позволило предположить, что он также может быть нацелен на пользователей, говорящих на корейском и итальянском языках.
Вы можете бесплатно скачать инструмент расшифровки PyLocky Ransomware с GitHub и запустить его на своем зараженном компьютере с Windows.
