CyberArk, aralıklı şifreleme kullanan işlemleri hedefleyen açık kaynaklı bir fidye yazılımı şifre çözücü olan ‘White Phoenix’in çevrimiçi bir sürümünü oluşturdu.
Şirket bugün, aracın bir Python projesi olarak GitHub aracılığıyla ücretsiz olarak kullanıma sunulmasına rağmen, kodla nasıl çalışacaklarını bilmeyen, teknolojiden daha az anlayan fidye yazılımı kurbanları için çevrimiçi bir sürümün gerekli olduğunu düşündüklerini duyurdu.
Çevrimiçi White Phoenix’i kullanmak, dosyaları yüklemek, “kurtar” düğmesine basmak ve araca mümkün olan her şeyi geri yüklemesi için biraz zaman tanımak kadar basittir.
Araç şu anda PDF’leri, Word ve Excel belge dosyalarını, ZIP’leri ve PowerPoint’i desteklemektedir. Ayrıca çevrimiçi sürümün dosya boyutu sınırı 10 MB’tır, bu nedenle daha büyük dosyaların veya sanal makinelerin (VM’ler) şifresini çözmek istiyorsanız GitHub sürümü gidilecek tek yoldur.
Aralıklı şifreleme fırsatları
Aralıklı şifreleme, kurbanın dosyalarını yalnızca kısmen şifreleyerek cihazların şifrelenmesini hızlandırmak için birçok fidye yazılımı işlemi tarafından kullanılan bir yöntemdir.
Aralıklı şifreleme kullanan mevcut fidye yazılımı türleri arasında Blackcat/ALPHV, Play, Qilin/Agenda, BianLian ve DarkBit yer alıyor. Bu nedenle White Phoenix yalnızca bu türlerden etkilenen kurbanlara yardım edebilir.
Tehdit aktörleri, aralıklı şifreleme kullanarak saldırılarını hızlandırabilir ve kurbanların verilerini ödemeden geri yükleme olanağından mahrum kalabilir.
Ancak aralıklı şifrelemenin bir zayıflığı da vardır; çünkü bir dosyada önemli miktarda şifrelenmemiş veri bırakır. Bu şifrelenmemiş veri yığınları, özellikle dosyanın başında ve sonunda yararlı bilgiler içeriyorsa, şifre çözücüye para ödemeden dosyayı başarılı bir şekilde yeniden oluşturma ve geri yükleme şansı artar.
White Phoenix, şifrelenmemiş parçaları birleştirerek ve onaltılık kodlamayı ve CMAP (karakter eşleme) karıştırmayı tersine çevirerek belgelerdeki metni kurtarmaya çalışır.
White Phoenix temel olarak veri restorasyon uzmanları tarafından kullanılan manuel geri yüklemeyi otomatikleştiren bir araçtır, dolayısıyla dosya türüne ve fidye yazılımına bağlı olarak şifre çözücü çok iyi çalışmayabilir.
CyberArk daha önce BleepingComputer’a şifre çözücünün doğru çalışması için dosya türlerine bağlı olarak belirli dizelerin okunabilir olması gerektiğini söylemişti. Örneğin, ZIP dosyalarının “PK\x03\x04” dizesini içermesi gerekir ve PDF’lerin “0 obj” ve “endobj” içermesi gerekir.
Görüntü dosyaları içeren PDF’lerde CyberArk, daha güvenilir sonuçlar için “dosyaları ayır” seçeneğinin işaretlenmesini önerir.
White Phoenix tüm sistemlerin geri yüklenmesine yardımcı olamasa bile, değerli dosyaların geri yüklenmesine veya en azından onlardan bazı verilerin alınmasına yardımcı olabilir.
Bahsedilen fidye yazılımı aileleri için şu anda çalışan bir şifre çözücü bulunmuyor, bu nedenle geri yükleme seçenekleri ciddi şekilde sınırlı ve bu da White Phoenix’i denemeye değer kılıyor.
Hassas bilgilerle çalışıyorsanız, hassas belgeleri CyberArk sunucularına yüklemek yerine White Phoenix’i GitHub’dan indirip yerel olarak kullanmanızın önerileceğini unutmayın.