Специалисты продемонстрировали работу своей программы на примере вредоноса MafiaWare666.
Специалисты Avast обнаружили ошибку в процессе шифрования, реализованном в некоторых версиях Hades и воспользовались этим для создания дешифратора. Эксперты отметили, что затронутые ошибкой программы не удаляют никаких данных у жертв. А у многих программ семейства Hades (в отчете специалисты Avast разбирали MafiaWare666 – C#-вредонос, использующий AES-шифрование) нет никаких методов обфускации или анти-анализа – они просто шифруют файлы с помощью AES-шифрования.
Образцы вредоносного ПО, проанализированные исследователями, добавляют следующие расширения к именам зашифрованных файлов:
-
.MafiaWare666
-
.jcrypt
-
.brutusptCrypt
-
.bmcrypt
-
.cyberone
-
.l33ch
.MafiaWare666
.jcrypt
.brutusptCrypt
.bmcrypt
.cyberone
.l33ch
Согласно отчету Avast, созданный специалистами компании дешифратор справляется со следующими версиями вредоносного ПО семейства Hades:
-
JCrypt;
-
RIP Lmao;
-
BrutusptCrypt;
-
Hades.
JCrypt;
RIP Lmao;
BrutusptCrypt;
Hades.
Кроме того, инструмент способен помочь тем, кто знает пароль для расшифровки файлов, но не может использовать дешифратор от злоумышленников – для таких случаев инструмент имеет отдельное поле в своем интерфейсе.
С полной версией отчета и подробным руководством по использованию дешифратора можно ознакомиться здесь .
Источник: securitylab
