研究人员释放了PowerWare和Bart Ransomware的免费解密工具
安全研究人员本周发布了工具,可以帮助用户恢复由两个相对较新的勒索威胁威胁加密的文件:BART和PowerWare。
PowerWare,也被称为Poshcoder,于3月份首次发现,当时它被用于针对医疗组织的攻击。它脱颖而出,因为它是在Windows PowerShell中实现的,该环境是为自动化系统和应用程序管理任务而设计的脚本环境。
来自安全公司Palo Alto Networks的研究人员最近发现了一种新版本的这种威胁,它模仿一个名为Locky的复杂和广泛的Ransomware程序。它使用扩展名为加密文件的扩展名.Locky,也显示了真正的锁定勒索软件使用的相同的赎金笔记。
这不是PowerWare / Poshcoder创建者第一次模仿设计精心设计的赎金软件威胁,可能是为了让用户说服用户在不付费的情况下尝试恢复文件。在过去,他们使用了Cryptowall和Teslacrypt赎金笔记。
幸运的是,由于赎金软件程序,因此强劲的软件靠近它冒充它。它使用AES-128加密算法,但具有硬编码密钥,允许Palo Alto研究人员创建一个应为此最新变体工作的解密工具。
此时,AntiVirus公司AVG的研究人员设法破解了另一个名为BART的赎金软件程序,首先在6月份出现。这种威胁是值得注意的,因为它锁定了密码保护的ZIP存档内的文件而不是使用复杂的加密算法。
BART感染易于识别,因为受影响的文件将具有扩展.bart.zip附加到其原始名称和扩展名 - 例如document.docx将成为document.docx.bart.zip。
BART的基于ZIP的加密使用了非常长而复杂的密码,但AVG研究人员使用BRUDS使用Brute-Force方法来猜出钥匙的方法。他们的BART解密工具要求用户至少有一个已经加密的文件的未受影响的副本。
程序将文件的原始版本与归档和密码保护的版本进行比较,然后继续进行猜测密码。该过程可能需要几天时间。
用户应该很容易找到由BART加密的文件的未受影响的版本。这可以是通过电子邮件收到的文档或图片或从Internet上的已知位置下载。它也可以是Windows附带的默认声音文件或壁纸之一,可以从清洁计算机复制。
虽然安全研究人员有时会在赎金软件程序中找到实施缺陷并设法创建免费解密工具,但恶意软件作者通常很快就可以解决它们的错误。适用于特定卷扫描软件程序的一个变体的工具可能无法为下一个变体工作,因此用户总是更好地采用预防措施并避免首先感染。