Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/new-ransomware-decryptor-recovers-data-from-partially-encrypted-files/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #novo #decodificador #de #ransomware #recupera #dados #de #arquivos #parcialmente #criptografados
Um novo descriptografador de ransomware 'White Phoenix' permite que as vítimas recuperem parcialmente arquivos criptografados por variedades de ransomware que usam criptografia intermitente.
A criptografia intermitente é uma estratégia empregada por vários grupos de ransomware que alterna entre criptografar e não criptografar blocos de dados. Esse método permite que um arquivo seja criptografado muito mais rapidamente, deixando os dados inutilizáveis pela vítima.
Em setembro de 2022, o Sentinel Labs informou que a criptografia intermitente está ganhando força no espaço do ransomware, com todos os grandes RaaS oferecendo-a pelo menos como uma opção para afiliados e BlackCat/ALPHV tendo aparentemente a implementação mais sofisticada.
Criptografia intermitente do BlackCat (CyberArk)
No entanto, de acordo com a CyberArk, que desenvolveu e publicou 'White Phoenix', essa tática introduz pontos fracos na criptografia, pois deixar partes dos arquivos originais não criptografados cria o potencial para recuperação gratuita de dados.
As operações de ransomware que usam criptografia intermitente incluem BlackCat, Play, ESXiArgs, Qilin/Agenda e BianLian.
Recuperando arquivos parcialmente criptografados
A CyberArk desenvolveu o White Phoenix depois de experimentar arquivos PDF parcialmente criptografados, tentando recuperar texto e imagens de objetos de fluxo.
Exemplo de objeto de fluxo do PDF (CyberArk)
Os pesquisadores descobriram que em certos modos de criptografia BlackCat, muitos objetos em arquivos PDF permanecem inalterados, permitindo que os dados sejam extraídos.
No caso de fluxos de imagens, recuperá-los é tão simples quanto remover os filtros aplicados.
No caso de recuperação de texto, os métodos de restauração incluem identificar blocos de texto nos fluxos e concatená-los ou reverter a codificação hexadecimal e codificação CMAP (mapeamento de caracteres).
Depois de recuperar com sucesso arquivos PDF usando a ferramenta White Phoenix, a CyberArk encontrou possibilidades de restauração semelhantes para outros formatos de arquivo, incluindo arquivos baseados em arquivos ZIP.
Esses arquivos usando o formato ZIP incluem Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) e PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp) formatos de documento.
Entradas de arquivo no arquivo ZIP (CyberArk)
A restauração desses tipos de arquivo é obtida usando 7zip e um editor hexadecimal para extrair os arquivos XML não criptografados de documentos afetados e executar a substituição de dados.
O White Phoenix automatiza todas as etapas acima para os tipos de arquivo suportados, embora a intervenção manual possa ser necessária em alguns casos.
A ferramenta está disponível para download gratuitamente no repositório GitHub público da CyberArk.
Limitações práticas
Os analistas relatam que sua ferramenta automatizada de recuperação de dados deve funcionar bem para os tipos de arquivo mencionados criptografados pelas seguintes cepas de ransomware:
BlackCat/ALPHV
Jogar ransomware
Qilin/Agenda
BianLian
DarkBitGenericName
No entanto, é essencial observar que o White Phoenix não produzirá bons resultados em todos os casos, mesmo que seja teoricamente comprovado.
Por exemplo, se uma grande parte de um arquivo foi criptografada, incluindo seus componentes críticos, os dados recuperados podem estar incompletos ou inúteis. Assim, a eficácia da ferramenta está diretamente ligada à extensão do dano ao arquivo.
Nos casos em que o texto é armazenado como objetos CMAP em arquivos PDF, a recuperação só é possível se nem o texto nem os objetos CMAP estiverem criptografados, exceto em casos raros em que a codificação hexadecimal corresponde aos valores originais dos caracteres.
O BleepingComputer testou o White Phoenix com uma pequena amostra de arquivos PDF criptografados com ALPHV e arquivos PPTX e DOCX criptografados com Play e não conseguiu recuperar nenhum dado usando a ferramenta.
No entanto, a CyberArk explicou que isso pode ser causado pelo fato de a criptografia intermitente não estar sendo usada nos ataques dos quais recebemos amostras ou os arquivos serem muito criptografados para serem analisados adequadamente.
"Dependendo da amostra de ransomware específica que está sendo usada, diferentes tamanhos de arquivo podem ser muito criptografados para recuperar dados. Se os seguintes caracteres não forem vistos no arquivo, provavelmente ele está totalmente criptografado e a White Phoenix não poderá ajudar, " CyberArk disse BleepingComputer.
Para que o White Phoenix funcione corretamente, os formatos Zip/Office devem conter a string "PK\x03\x04" no arquivo a ser suportado. Além disso, os PDFs precisam conter as strings "0 obj" e "endobj" para serem parcialmente recuperados.
Se o White Phoenix não conseguir encontrar essas strings, ele indicará que o tipo de arquivo não é suportado, conforme mostrado abaixo em nossos testes limitados.
Testando o White Phoenix em um arquivo criptografado pelo PlaySource: BleepingComputer
Embora esse descriptografador possa não funcionar para todos os arquivos, pode ser muito útil para as vítimas tentarem recuperar "alguns" dados de arquivos críticos.
A CyberArk convida todos os pesquisadores de segurança a baixar e experimentar a ferramenta e se juntar ao esforço para melhorá-la e ajudar a estender seu suporte a mais tipos de arquivos e variedades de ransomware.
Postar um comentário