Kostenloser Entschlüsseler für HermeticRansom-Opfer in der Ukraine veröffentlicht!
Avast hat einen Entschlüsseler für den Ransomware-Stamm HermeticRansom veröffentlicht, der in den letzten zehn Tagen bei gezielten Angriffen auf ukrainische Systeme eingesetzt wurde.
Der Entschlüsseler wird als kostenloses Download-Tool von der Avast-Website angeboten und kann Ukrainern dabei helfen, ihre Daten schnell und zuverlässig wiederherzustellen.
Die ersten Anzeichen der Verteilung von HermeticRansom wurden von ESET-Forschern am 23. Februar beobachtet, nur wenige Stunden bevor sich die Invasion russischer Truppen in der Ukraine entfaltete.
Ein schwacher Köder:
Der Ransomware-Stamm wurde zusammen mit einem Computerwurm namens HermeticWizard ausgeliefert und diente eher als Köder bei Wiper-Angriffen als als Werkzeug zur Unterstützung finanzieller Erpressung. Dennoch haben seine Infektionen lebenswichtige ukrainische Systeme gestört.
Crowdstrike erkannte schnell eine Schwachstelle im kryptografischen Schema des von GO geschriebenen Stamms und bot ein Skript an, um die von HermeticRansom (alias PartyTicket) verschlüsselten Dateien zu entschlüsseln.
„Die Ransomware enthält Implementierungsfehler, wodurch ihre Verschlüsselung brechbar und langsam wird. Dieser Fehler deutet darauf hin, dass der Malware-Autor entweder unerfahren beim Schreiben in Go war oder nur begrenzte Anstrengungen zum Testen der Malware unternommen hat, möglicherweise weil die verfügbare Entwicklungszeit begrenzt war“, erklärt Crowdstrike in a neuer Blogbeitrag am Dienstag veröffentlicht.
Wie BleepingComputer auf Twitter erklärte, enthält das HermeticRansom zahlreiche politisch orientierte Zeichenfolgennamen in der Ransomware-Binärdatei, der Lösegeldforderung und den Kontakt-E-Mails (vote2024forjb@protonmail.com und stephanie.jones2024@protonmail.com).
The malware itself has functions/project names that appear to reference the 403ForBiden meme:
/C/projects/403forBiden/wHiteHousE.primaryElectionProcess
/C/projects/403forBiden/wHiteHousE.GoodOffice1
C:/projects/403forBiden/main.go
main.voteFor403
HermeticRansom sollte nie als moderner Ransomware-Stamm dienen, der den Boden für doppelte Erpressung bereiten und finanziellen und Reputationsschaden zufügen würde.
Immer noch eine Gefahr:
Das Obige bedeutet nicht, dass HermeticRansom-Infektionen die Zielcomputer nicht beeinträchtigen.
Im Gegenteil, dieser Stamm kann immer noch wertvolle Dateien außerhalb der Programmdateien und Windows-Ordner mit einem RSA-2048-Schlüssel verschlüsseln.
Die von den Opfern gesehene Lösegeldforderung hat eine typische Form und einen typischen Inhalt und fordert sie auf, sich an eine ProtonMail-Adresse zu wenden, um einen Entschlüsseler zu erwerben.
Neuer Entschlüsseler stellt Dateien wieder her:
Obwohl das Skript von Crowdstrike zuverlässig ist, ist es nicht für jeden einfach, es in dieser Situation zu verwenden. Um es einfacher zu machen, hat Avast einen GUI-Entschlüsseler veröffentlicht , der es einfacher macht, mit HermeticRansom verschlüsselte Dateien zu entschlüsseln.
Außerdem bietet das Tool die Option, die verschlüsselten Dateien zu sichern, um zu vermeiden, dass Sie mit irreversibel beschädigten Dateien enden, wenn beim Verschlüsselungsprozess etwas schief geht.
AVAST DECRYPTER-TUTORIAL → https://decoded.avast.io/threatresearch/help-for-ukraine-free-decryptor-for-hermeticransom-ransomware/#howto