ИБ-эксперты создали White Phoenix, новый инструмент для дешифровки файлов, пострадавших в результате атак программ-вымогателей. «Белый Феникс» позволит жертвам частично восстановить файлы, зашифрованные малварью, которая использует прерывистое шифрование. Инструмент уже доступен для бесплатной загрузки на GitHub.
Прерывистое шифрование представляет собой метод, используемый некоторыми вымогательскими группировками. Идея заключается в том, что малварь попеременно шифрует и не шифрует фрагменты данных, что позволяет зашифровать файл намного быстрее, делая данные непригодными для использования жертвой.
Осенью 2022 года специалисты Sentinel Labs сообщали, что прерывистое шифрование набирает обороты, все крупные RaaS (Ransomware-as-a-Service) уже предлагают его хотя бы в качестве опции, а вымогатель BlackCat/ALPHV и вовсе имеет наиболее сложную реализацию.
В настоящее время программы-вымогатели, использующие прерывистое шифрование, включают BlackCat, Play, ESXiArgs, Qilin/Agenda и BianLian.
Как теперь сообщают эксперты компании CyberArk, которые разработали White Phoenix и выложили его в открытый доступ, прерывистое шифрование создает слабые места, поскольку оставление частей исходных файлов незашифрованными создает возможность для бесплатного восстановления данных.
CyberArk разработала White Phoenix после экспериментов с частично зашифрованными PDF-файлами, пытаясь восстановить текст и изображения из потоковых объектов. В итоге исследователи обнаружили, что в некоторых режимах шифрования BlackCat многие объекты в файлах PDF остаются неизменными, что позволяет извлечь данные.
Так, в случае с изображениями восстановить их оказалось так же просто, как удалить примененные фильтры. В случае работы с текстом методы восстановления включают идентификацию фрагментов текста в потоках, их объединение или реверсинг hex-кодирования и скремблирования CMAP.
После успешного восстановления файлов PDF, аналитики CyberArk обнаружили, что аналогичным образом возможно восстановить файлы других форматов, в том числе на основе ZIP. Такие файлы, использующие формат ZIP, включают: Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) и PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp).
Восстановление этих типов файлов достигается с помощью 7zip и hex-редактора для извлечения незашифрованных XML-файлов из затронутых документов и выполнения замены данных. White Phoenix автоматизирует вышеперечисленные шаги для поддерживаемых типов файлов, хотя в некоторых случаях все же может потребоваться вмешательство человека.
Аналитики говорят, что их инструмент должен хорошо работать с указанными типами файлов, зашифрованными следующими вымогателями: BlackCat/ALPHV, Play, Qilin/Agenda, BianLian, DarkBit.
При этом подчеркивается, что White Phoenix не всегда гарантирует приемлемый результат, даже если работает с поддерживаемым типом файлов. К примеру, если зашифрована большая часть файла, включая его важные компоненты, восстановленные данные могут оказаться неполными или бесполезными. То есть эффективность инструмента напрямую связана со степенью повреждения данных.