在线勒索软件解密器可帮助恢复部分加密的文件 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

在线勒索软件解密器可帮助恢复部分加密的文件

胡金鱼 漏洞 2024-03-01 12:01:00
194687
收藏

导语:间歇加密仅通过部分加密受害者的文件来加速设备加密。

CyberArk 创建了“White Phoenix”的在线版本,这是一种开源勒索软件解密器,主要针对使用间歇性加密。

虽然该工具已经作为 Python 项目通过 GitHub 免费提供,但对于技术不太精通、不知道如何使用代码的勒索软件受害者来说,还需要一个在线版本。

使用在线 White Phoenix 非常简单,只需上传文件,点击“恢复”按钮,然后让该工具有时间恢复它可以恢复的部分。

目前,该工具支持 PDF、Word 和 Excel 文档文件、ZIP 和 PowerPoint。此外,在线版本的文件大小限制为 10MB,因此如果用户想要解密更大的文件或虚拟机 (VM),  GitHub 版本是唯一的选择。

间歇性加密

间歇加密是许多勒索软件所使用的方法 ,仅通过部分加密受害者的文件来加速设备加密。

目前采用间歇性加密的勒索软件包括 Blackcat/ALPHV、Play、Qilin/Agenda、BianLian 和 DarkBit。因此,White Phoenix 只能帮助受到这些菌株影响的受害者。

使用间歇性加密,威胁分子可以加快攻击速度,同时让受害者无法在不付费的情况下恢复数据。

然而,间歇性加密有一个弱点,因为它会在文件中留下大量未加密的数据。如果这些未加密的数据块包含有用的信息,尤其是在文件的开头和结尾处,则无需支付解密器费用即可成功重建和恢复文件的机会就会增加。

White Phoenix 尝试通过连接未加密的部分以及反转十六进制编码和 CMAP(字符映射)加扰来恢复文档中的文本。

White Phoenix 基本上是数据恢复专家使用的自动手动恢复工具,因此根据文件类型和勒索软件,解密器可能无法很好地工作。文件中的某些字符串需要可读,具体取决于其类型,解密器才能正常工作。例如,ZIP 文件必须包含“PK\x03\x04”字符串,PDF 需要包含“0 obj”和“endobj”。

对于包含图像文件的 PDF,CyberArk 建议检查“单独文件”选项以保障其安全性。

即使 White Phoenix 无法帮助恢复整个系统,它仍然可以帮助恢复有价值的文件或至少从中检索一些数据。

目前,上述勒索软件系列还没有可用的解密器,因此恢复选项非常有限。如果正在处理敏感信息,建议从 GitHub 下载 White Phoenix 并在本地使用,而不是将敏感文档上传到 CyberArk 的服务器。

文章翻译自:https://www.bleepingcomputer.com/news/security/online-ransomware-decryptor-helps-recover-partially-encrypted-files/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务