Голландская компания Tesorion выпустила бесплатный дешифратор для данных, пострадавших в результате атак вымогателя Lorenz. Теперь некоторые файлы можно восстановить бесплатно, без уплаты выкупа.
Шифровальщик Lorenz «работал» с апреля 2021 года и атакует только корпоративные цели. За это время на сайте его операторов были опубликованы данные двенадцати жертв, чью информацию похитили хакеры. По мнению ИБ-исследователей, код вымогателя базируется на коде старых семейств малвари ThunderCrypt и SZ40.
Созданный специалистами Tesorion дешифратор можно загрузить с сайта NoMoreRansome. В отличие от других аналогичных инструментов, которые обычно работают с фактическим ключом дешифрования, этот дешифратор работает иначе и поможет восстановить только определенные типы файлов. В частности, можно расшифровать файлы с хорошо известной структурой, включая документы Office, файлы PDF, а также некоторые типы изображений и фильмов. А вот с файлами неизвестных типов или с необычной структурой инструмент Tesorion, к сожалению, не справится.
Также исследователи опубликовали информацию о технике шифрования, которую использует Lorenz. В блоге компании рассказывается, что в коде хакеров была обнаружена ошибка, которая может привести к потере данных и помешать расшифровке файлов, даже если злоумышленникам был выплачен выкуп.
«В результате этой ошибки для каждого файла, чей размер кратен 48 байтам, последние 48 байт теряются. Даже если вам удалось получить дешифратор от авторов малвари, эти байты уже не могут быть восстановлены», — объясняют специалисты.