Создана программа, способная взломать шифровальщик DecryptorMax

30 ноября 2015

Специалистом компании Emisoft, Фабианом Восаром, была создана программа которая способна расшифровывать файлы, которые были зашифрованы вредоносным ПО DecryptorMax, с целью вымогания денег с пользователя за восстановление зашифрованных данных. Зловреду было дано еще одно название – CryptInfinite, поскольку такое значение заносится в реестр Windows, при этом сохраняется перечень подвергшихся шифрованию файлов и их место на диске.

Для распространения DecryptorMax используются рассылка спамовых сообщений, содержащих Word-файлы, которые выдаются за резюме. Заражение ПК происходит через макросы, известные своей уязвимостью. После проникновения зловреда в систему, начинается процесс шифрования файлов, содержащихся на инфицированном устройстве. Происходит добавление расширения .crinf.

Во всех папках, содержащих зашифрованные файлы, пользователь находит записки, извещающие, что для получения ключа, который позволит расшифровать файлы, у него есть 24 часа на внесение определенной суммы ваучерами PayPal MyCash. Для этого их необходимо отправить на один из 3-х предоставленных адресов.

Явными признаками заражения ПК этой вредоносной программой является смена обоев рабочего стола, отключение возможности восстановления системы, удаление теневых копий.

Разработанная программа, которая поможет расшифровать файлы без внесения выкупа, получила имя DecryptInfinite. От пользователя потребуется размещение на главном окне двух файлов: зашифрованного и его незашифрованной версии, если таковая имеется. Если же нет, то тогда можно пойти другим путем. Берется любой из зашифрованных файлов формата PNG и нормальный файл того же формата. После их размещения в главном окне программа начнет вычислять ключ, который позволить расшифровать файлы. Процесс подбора ключа может быть довольно длительным.

Поделиться: