Darmowe deszyfrowanie ransomware Thomasa, czy też $ git revert thomas

dodał 19 kwietnia 2018 o 07:49 w kategorii Złośniki  z tagami:
Darmowe deszyfrowanie ransomware Thomasa, czy też $ git revert thomas

Mamy dobrą wiadomość dla ofiar ransomware Vortex/Flotera/Polski Ransomware – zespół CERT Polska własnie udostępnił narzędzie pozwalające na odszyfrowanie plików w przynajmniej części przypadków.

Odszyfrowanie plików jest możliwe dzięki postępom w sprawie prowadzonej przez Prokuraturę Okręgową w Warszawie. „Legendarny” Thomas jest raczej dobrze znany regularnym czytelnikom Zaufanej Trzeciej Strony. Każda historia ma jednak swój kres, a ta może zakończyć się happy endem dla niektórych (a docelowo być może wszystkich) ofiar jego ransomware.

Vortex, Flotera i Polski Ransomware to nazwy własne pod którymi występowało oprogramowanie szyfrujące dyski twarde. Ofiarami najczęściej padali nieświadomi użytkownicy klikający w różne mniej lub bardziej precyzyjnie przygotowane kampanie spamowe.

Elektroniczna faktura, powiadomienie o planowanej wizycie kuriera, czy też powiadomienie o zainicjowaniu płatności – to tylko niektóre z pomysłów, które przez lata wykorzystywane były do rozsiewania ransomware. Oprócz klasycznych „faktura.exe”, z czasem metody stawały się coraz bardziej wyrafinowane i wykorzystywały np. pliki Worda ze złośliwymi makrami.

Jedna z kampanii spamowych Thomasa wykorzystująca ransomware Flotera.

Odzyskiwanie kluczy z Vortexa

Dzięki wspólnym trudom Prokuratury Okręgowej w Warszawie oraz zespołu CERT Polska powstało narzędzie do odzyskiwania kluczy do plików zaszyfrowanych przez ransomware Thomasa. Jest to aplikacja internetowa dostępna pod adresem vortex.cert.pl, która na podstawie próbki dowolnego zaszyfrowanego pliku jest w stanie odzyskać klucz pozwalający na odwrócenie działania ransomware na danym komputerze.

Ponieważ ransomware Thomasa był przeróbką narzędzia AESxWin zamówioną na Oferii za około 120 złotych, „przejęte” pliki były szyfrowane do formatu programu AESCrypt. W związku z tym, po odzyskaniu klucza można posłużyć się właśnie tym narzędziem, aby zdeszyfrować dane na określonym komputerze.

Udało się? Zawiadomcie prokuraturę

Prokuratura Okręgowa w Warszawie wydała następujący komunikat:

Jeśli udało się Państwu odszyfrować pliki przy pomocy klucza uzyskanego na tej stronie [tj. vortex.cert.pl – przyp. red], uprzejmie prosimy o złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa wraz z wnoskiem o ściganie w najbliższej dla Państwa miejsca zamieszkania jednostce Policji z powołaniem się na sygnaturę sprawy PO II Ds 129.2017 Prokuratury Okręgowej w Warszawie.

Jeśli dysponujecie Państwo wiadomością e-mail, którą sprawca wysłał do Państwa złośliwy plik prosimy o zapisanie jej na płycie CD/DVD (wraz z pełnymi nagłówkami i załącznikiem) oraz przekazanie Policji jako załącznik do protokołu przesłuchania. Nie będzie konieczne przekazywanie do badania komputera, na którym pliki zostały zaszyfrowane.

Jeżeli natomiast napotkacie jakiekolwiek trudności techniczne, powiadomcie o tym zespół CERT Polska pisząc wiadomość na adres info@cert.pl. Zachęcamy również do komentowania tego posta – powiedzcie czy się udało!