BezpieczeństwoNie musisz już płacić hakerom! > redakcja Opublikowane 15 listopada 20170 0 101 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Rozwiązanie dostępne jest jako samodzielnie narzędzie lub element darmowego pakietu Bitdefender Ransomware Recognition. W przypadku, kiedy użytkownik jest przekonany, że komputer stał się ofiarą BTCWare, powinien pobrać plik ze wskazanej lokalizacji i zainstalować na zainfekowanym urządzeniu.Należy zaznaczyć, że producent sugeruje, żeby odszyfrowywać dane za pomocą narzędzia Bitdefender Ransomware Recognition, ponieważ najpierw wykrywa ono typ ransomware, a w dalszej kolejności sugeruje użycie najnowszego narzędzia przeznaczonego do deszyfrowania.Jak posługiwać się narzędziem do deszyfrowania:Pobierz narzędzie do szyfrowania BTCWare z repozytoriumUruchom pobraną aplikację, kiedy pojawi się monit User Account ControlZaakceptuj warunki umowy licencyjnej (upewnij się, że został wykonany backup)Wskaż folder zawierający zaszyfrowane pliki. Jeśli są one rozproszone po całym dysku, zaznacz opcję „skanuj cały system”Narzędzie do szyfrowania nie będzie działać w następujących przypadkach:Nie można znaleźć noty dotyczącej ransomwareNie można znaleźć zaszyfrowanych plikówNie jest w stanie przejść przez proces rozszyfrowania pięciu losowych plików znajdujących się w folderze.Informacje o narzędziuTa odmiana ransomware została wykryta w marcu 2017 roku. Cechuje się tym, że szyfruje pliki użytkowników trzema różnymi kodami (AES192, RC4 i AES256), zaś wszystkie klucze są zaszyfrowane w nocie okupu w tak zwanym pliku User ID. Pole User ID to klucz szyfrowania w formacie Base64.Ta rodzina ransomware wykorzystuje dziewięć różnych rozszerzeń, zgrupowanych w trzech algorytmach szyfrowania opisanych powyżej. Bitfender kwalifikuje je do 4 różnych wersji, co obrazuje poniższa tabela.VerExtension usedEncryption typeRansom-note nameDecrypted1.btcwareRC4 <1KB chunked#_HOW_TO_FIX.infYES1.cryptobyteRC4 <1KB chunked#_HOW_TO_FIX.infYES2.onyonRC4 first 10MB only!#_DECRYPT_#!.infYES2.xfileRC4 first 10MB only!#_DECRYPT_#!.infYES3.cryptowinAES192 <1KB chunked#_HOW_TO_FIX.infYES3.thevaAES192 <1KB chunked#_README_#.infYES4.masterAES256 first 10MB only!#_RESTORE_FILES_#!.infYES4.aletaAES256 first 10MB only!#_READ_ME_#!.infNO4.blockingAES256 first 10MB only!#_READ_ME_#!.htaNONiektóre noty ransomware mogą się pokrywać.Bitdefender podczas tworzenia narzędzia wykorzystał ujawnione klucze prywatne, które pozwalają odszyfrować niemal wszystkie wersje oprogramowania (v1, v2 i v3), a także rozszerzenie .master w wersji 4. Firma planuje także wzbogacić narzędzie o technologię „brute-force”, nieodzowną w przypadkach, kiedy nie zadziałają klucze.Wraz z narzędziem do odszyfrowywania Bitdefender udostępnia dodatkowe mechanizmy zabezpieczające przed uszkodzeniem plików. Proces całkowitego deszyfrowania jest uruchamiany tylko wtedy, gdy narzędzie rozszyfrowuje 5 losowych plików oraz notę okupu. Pliki wybierane są z wskazanego folderu lub z całej puli plików, jeśli użytkownik nie wskazał konkretnej lokalizacji..Generowanie logówPodczas deszyfrowania logi są generowane i zapisywane w folderze % temp%. Wprawdzie istnieją dwa typy logów, ale bardziej istotny dla operacji jest plik BitdefenderLog.txt, w którym przechowywane są wyniki deszyfrowania. Jeśli użytkownik będzie miał problemy z narzędziem, firma prosi o kontakt i udostępnienie logu dziennika:Plik dziennika przechowuje również tabele z plikami, które nie mogły zostać odszyfrowane. Bitfender zachęca przesyłanie ich w celach analitycznych i udoskonalenia procesu tworzenia narzędzi deszyfrujących.Deszyfrowanie może się zakończyć fiaskiemW niektórych sytuacjach, na które dostawca narzędzia nie ma wpływu, proces odszyfrowywania plików może się nie powieść. Dzieje się tak, kiedy złośliwe oprogramowanie próbuje zaszyfrować pliki używane przez system operacyjny, ale nie potrafi usunąć ani zastąpić oryginału. Pliki takie będą wyświetlane w rejestrze zdarzeń z dodatkowym objaśnieniem zaistniałej sytuacji – plik nie był zainfekowany i nie wymagał deszyfrowania. Inny wariant obejmuje przypadek, kiedy oryginalny plik został zaszyfrowany, a kopia przemianowana na rozszerzenie sugerujące, że jest szyfrowane, choć tak się w rzeczywistości nie stało.