19.04.2018 | 07:49

redakcja

Darmowe deszyfrowanie ransomware Thomasa, czy też $ git revert thomas

Mamy dobrą wiadomość dla ofiar ransomware Vortex/Flotera/Polski Ransomware – zespół CERT Polska własnie udostępnił narzędzie pozwalające na odszyfrowanie plików w przynajmniej części przypadków.

Odszyfrowanie plików jest możliwe dzięki postępom w sprawie prowadzonej przez Prokuraturę Okręgową w Warszawie. „Legendarny” Thomas jest raczej dobrze znany regularnym czytelnikom Zaufanej Trzeciej Strony. Każda historia ma jednak swój kres, a ta może zakończyć się happy endem dla niektórych (a docelowo być może wszystkich) ofiar jego ransomware.

Vortex, Flotera i Polski Ransomware to nazwy własne pod którymi występowało oprogramowanie szyfrujące dyski twarde. Ofiarami najczęściej padali nieświadomi użytkownicy klikający w różne mniej lub bardziej precyzyjnie przygotowane kampanie spamowe.

Elektroniczna faktura, powiadomienie o planowanej wizycie kuriera, czy też powiadomienie o zainicjowaniu płatności – to tylko niektóre z pomysłów, które przez lata wykorzystywane były do rozsiewania ransomware. Oprócz klasycznych „faktura.exe”, z czasem metody stawały się coraz bardziej wyrafinowane i wykorzystywały np. pliki Worda ze złośliwymi makrami.

Jedna z kampanii spamowych Thomasa wykorzystująca ransomware Flotera.

Odzyskiwanie kluczy z Vortexa

Dzięki wspólnym trudom Prokuratury Okręgowej w Warszawie oraz zespołu CERT Polska powstało narzędzie do odzyskiwania kluczy do plików zaszyfrowanych przez ransomware Thomasa. Jest to aplikacja internetowa dostępna pod adresem vortex.cert.pl, która na podstawie próbki dowolnego zaszyfrowanego pliku jest w stanie odzyskać klucz pozwalający na odwrócenie działania ransomware na danym komputerze.

Ponieważ ransomware Thomasa był przeróbką narzędzia AESxWin zamówioną na Oferii za około 120 złotych, „przejęte” pliki były szyfrowane do formatu programu AESCrypt. W związku z tym, po odzyskaniu klucza można posłużyć się właśnie tym narzędziem, aby zdeszyfrować dane na określonym komputerze.

Udało się? Zawiadomcie prokuraturę

Prokuratura Okręgowa w Warszawie wydała następujący komunikat:

Jeśli udało się Państwu odszyfrować pliki przy pomocy klucza uzyskanego na tej stronie [tj. vortex.cert.pl – przyp. red], uprzejmie prosimy o złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa wraz z wnoskiem o ściganie w najbliższej dla Państwa miejsca zamieszkania jednostce Policji z powołaniem się na sygnaturę sprawy PO II Ds 129.2017 Prokuratury Okręgowej w Warszawie.

Jeśli dysponujecie Państwo wiadomością e-mail, którą sprawca wysłał do Państwa złośliwy plik prosimy o zapisanie jej na płycie CD/DVD (wraz z pełnymi nagłówkami i załącznikiem) oraz przekazanie Policji jako załącznik do protokołu przesłuchania. Nie będzie konieczne przekazywanie do badania komputera, na którym pliki zostały zaszyfrowane.

Jeżeli natomiast napotkacie jakiekolwiek trudności techniczne, powiadomcie o tym zespół CERT Polska pisząc wiadomość na adres [email protected]. Zachęcamy również do komentowania tego posta – powiedzcie czy się udało!

Powrót

Komentarze

  • 2018.04.19 08:50 M.

    Brakuje zarzutów?

    Odpowiedz
    • 2018.04.19 09:11 thek

      Prędzej chodzi o jak największą ich liczbę, aby trudniej się było wykręcić, że to było poważne naruszenie na infrastrukturę. Zarzuty będą te same, ale wysokość kary odpowiednio wzrośnie. Jeśli będzie kilka ofiar to jednak inaczej to będzie wyglądać niż kilkaset czy kilka tysięcy.

      Odpowiedz
    • 2018.04.19 09:47 a


      Jeżeli CERT przygotował deszyfrator, to musiał mieć dostęp do programu szyfrującego, a ten dał im Thomas, bo przyznał się do zarzutów i chce współpracować.

      Teraz prokuratura musi ocenić skalę strat na jakie naraził społeczeństwo Armageddon i stąd takie ogłoszenie.

      Odpowiedz
    • 2018.04.19 10:00 aaaa

      Może nie brakuje, ale trzeba dołożyć i oszacować straty. A może ktoś chce zbadać zasięg, żeby w przyszłości edukować ludzi i zmniejszać zagrożenie.

      Odpowiedz
  • 2018.04.19 11:41 Jacek

    5 lat musi dostać.

    Odpowiedz
  • 2018.04.21 13:19 ssl

    CERT ma problemy z certyfikatem ssl? (0F:83:E9:8A:83:55:0A:3C:F0:72:0B:28:5B:F1:2E:6E)
    Firefox 59.0.2 zgłasza z nim problem…

    Odpowiedz
  • 2018.04.21 13:20 ssl

    CERT ma problem z certyfikatem ssl?
    (0F:83:E9:8A:83:55:0A:3C:F0:72:0B:28:5B:F1:2E:6E)
    Firefox 59.0.2 zgłasza z nim problem…

    Odpowiedz
  • 2018.06.30 20:53 PAPA SMERF

    Ja swoich plików jeszcze nie odblokowałem z powodu braku klucza.
    Na tej stronie jest możliwość sprawdzenia pliku *.aes czy jest już możliwy do odblokowania.
    https://nomoreransom.cert.pl/vortex/

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Darmowe deszyfrowanie ransomware Thomasa, czy też $ git revert thomas

Komentarze