Úspěšně dešifrováno: Ransomware MafiaWare666
Společnost Avast vydává nástroj pro dešifrování ransomwaru MafiaWare666. MafiaWare666 je také známý jako JCrypt, RIP Lmao, BrutusptCrypt nebo Hades.
MafiaWare666 je ransomware napsaný v jazyce C#, který neobsahuje žádné obfuskační ani antianalytické techniky. Šifruje soubory pomocí šifrování AES. V šifrovacím schématu společnost Avast objevila zranitelnost, která umožňuje některé varianty dešifrovat bez zaplacení výkupného. Nové nebo dříve neznámé vzorky mohou šifrovat soubory jinak, takže je nemusí být možné dešifrovat bez další analýzy.
Ransomware prohledává speciální umístění složek (Plocha, Hudba, Videa, Obrázky a Dokumenty) a šifruje soubory s následujícími příponami:
3fr 7z accdb ai apk arch00 arw asp aspx asset avi bar bat bay bc6 bc7 big bik bkf bkp blob bsa c cas cdr cer cfr cpp cr2 crt crw cs css csv csv d3dbsp das dazip db0 dba dbf dcr der desc divx dmp dng doc doc docm docx docx dwg dxg epk eps erf esm ff flv forge fos fpk fsh gdb gho h hkdb hkx hplg hpp html hvpl ibank icxs indd index itdb itl itm iwd iwi jpe jpeg jpg js kdb kdc kf layout lbf litemod lrf ltx lvl m2 m3u m4a map mcmeta mdb mdb mdbackup mddata mdf mef menu mkv mlx mov mp3 mp4 mpeg mpqge mrwref ncf nrw ntl odb odc odm odp ods odt odt ogg orf p12 p7b p7c pak pdd pdf pef pem pfx php pk7 pkpass png ppt ppt pptm pptx pptx psd psk pst ptx py qdf qic r3d raf rar raw rb re4 rgss3a rim rofl rtf rw2 rwl sav sb sid sidd sidn sie sis slm sln snx sql sql sr2 srf srw sum svg syncdb t12 t13 tax tor txt upk vb vcf vdf vfs0 vpk vpp_pc vtf w3x wallet wav wb2 wma wmo wmv wotreplay wpd wps x3f xlk xls xls xlsb xlsm xlsx xlsx xml xxx zip zip ztmp
Zašifrovaným souborům je přiřazena nová přípona, která se u jednotlivých vzorků liší.
- .MafiaWare666
- .jcrypt
- .brutusptCrypt
- .bmcrypt
- .cyberone
- .l33ch
Jakmile ransomware dokončí proces šifrování, zobrazí okno s pokyny, jak zaplatit výkupné. Podle pokynů mají oběti kontaktovat útočníka a zaplatit mu v Bitcoinech. Cena výkupného je relativně nízká, pohybuje se v rozmezí 50-300 dolarů, ačkoli některé starší vzorky s různými názvy požadují mnohem více, až jeden Bitcoin, což je v době publikování přibližně 20 000 dolarů.
