在线勒索软件解密器可帮助恢复部分加密的文件
2024-3-1 12:1:0 Author: www.4hou.com(查看原文) 阅读量:13 收藏

胡金鱼 漏洞 刚刚发布

1171

收藏

导语:间歇加密仅通过部分加密受害者的文件来加速设备加密。

CyberArk 创建了“White Phoenix”的在线版本,这是一种开源勒索软件解密器,主要针对使用间歇性加密。

虽然该工具已经作为 Python 项目通过 GitHub 免费提供,但对于技术不太精通、不知道如何使用代码的勒索软件受害者来说,还需要一个在线版本。

使用在线 White Phoenix 非常简单,只需上传文件,点击“恢复”按钮,然后让该工具有时间恢复它可以恢复的部分。

目前,该工具支持 PDF、Word 和 Excel 文档文件、ZIP 和 PowerPoint。此外,在线版本的文件大小限制为 10MB,因此如果用户想要解密更大的文件或虚拟机 (VM),  GitHub 版本是唯一的选择。

间歇性加密

间歇加密是许多勒索软件所使用的方法 ,仅通过部分加密受害者的文件来加速设备加密。

目前采用间歇性加密的勒索软件包括 Blackcat/ALPHV、Play、Qilin/Agenda、BianLian 和 DarkBit。因此,White Phoenix 只能帮助受到这些菌株影响的受害者。

使用间歇性加密,威胁分子可以加快攻击速度,同时让受害者无法在不付费的情况下恢复数据。

然而,间歇性加密有一个弱点,因为它会在文件中留下大量未加密的数据。如果这些未加密的数据块包含有用的信息,尤其是在文件的开头和结尾处,则无需支付解密器费用即可成功重建和恢复文件的机会就会增加。

White Phoenix 尝试通过连接未加密的部分以及反转十六进制编码和 CMAP(字符映射)加扰来恢复文档中的文本。

White Phoenix 基本上是数据恢复专家使用的自动手动恢复工具,因此根据文件类型和勒索软件,解密器可能无法很好地工作。文件中的某些字符串需要可读,具体取决于其类型,解密器才能正常工作。例如,ZIP 文件必须包含“PK\x03\x04”字符串,PDF 需要包含“0 obj”和“endobj”。

对于包含图像文件的 PDF,CyberArk 建议检查“单独文件”选项以保障其安全性。

即使 White Phoenix 无法帮助恢复整个系统,它仍然可以帮助恢复有价值的文件或至少从中检索一些数据。

目前,上述勒索软件系列还没有可用的解密器,因此恢复选项非常有限。如果正在处理敏感信息,建议从 GitHub 下载 White Phoenix 并在本地使用,而不是将敏感文档上传到 CyberArk 的服务器。

文章翻译自:https://www.bleepingcomputer.com/news/security/online-ransomware-decryptor-helps-recover-partially-encrypted-files/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/wyWz
如有侵权请联系:admin#unsafe.sh