CyberArk 创建了“White Phoenix”的在线版本,这是一种开源勒索软件解密器,主要针对使用间歇性加密。
该工具已经作为 Python 项目通过 GitHub 免费提供,但对于技术不太精通、不知道如何使用代码的勒索软件受害者来说,还需要一个在线版本。
使用在线 White Phoenix 非常简单,只需上传文件,点击“恢复”按钮,然后让该工具有时间恢复它可以恢复的部分。
目前,该工具支持 PDF、Word 和 Excel 文档文件、ZIP 和 PowerPoint。此外,在线版本的文件大小限制为 10MB,因此如果用户想要解密更大的文件或虚拟机 (VM), GitHub 版本是唯一的选择。
间歇加密是许多勒索软件所使用的方法 ,仅通过部分加密受害者的文件来加速设备加密。
目前采用间歇性加密的勒索软件包括 Blackcat/ALPHV、Play、Qilin/Agenda、BianLian 和 DarkBit。因此,White Phoenix 只能帮助受到这些菌株影响的受害者。
使用间歇性加密,威胁分子可以加快攻击速度,同时让受害者无法在不付费的情况下恢复数据。
然而,间歇性加密有一个弱点,因为它会在文件中留下大量未加密的数据。如果这些未加密的数据块包含有用的信息,尤其是在文件的开头和结尾处,则无需支付解密器费用即可成功重建和恢复文件的机会就会增加。
White Phoenix 尝试通过连接未加密的部分以及反转十六进制编码和 CMAP(字符映射)加扰来恢复文档中的文本。
White Phoenix 基本上是数据恢复专家使用的自动手动恢复工具,因此根据文件类型和勒索软件,解密器可能无法很好地工作。文件中的某些字符串需要可读,具体取决于其类型,解密器才能正常工作。例如,ZIP 文件必须包含“PK\x03\x04”字符串,PDF 需要包含“0 obj”和“endobj”。
对于包含图像文件的 PDF,CyberArk 建议检查“单独文件”选项以保障其安全性。
即使 White Phoenix 无法帮助恢复整个系统,它仍然可以帮助恢复有价值的文件或至少从中检索一些数据。
目前,上述勒索软件系列还没有可用的解密器,因此恢复选项非常有限。如果正在处理敏感信息,建议从 GitHub 下载 White Phoenix 并在本地使用,而不是将敏感文档上传到 CyberArk 的服务器。
参考及来源:
https://www.bleepingcomputer.com/news/security/online-ransomware-decryptor-helps-recover-partially-encrypted-files/