خبر خوب برای قربانیان باج‌افزاری

انتشار ابزار رمزگشایی رایگان برای باج‌افزار گت‌کریپت «GetCrypt»

محققان امنیتی شرکت امسی‌سافت به‌تازگی ابزار رمزگشایی رایگان اطلاعات رمزگذاری شده توسط باج‌افزار گت‌کریپت «GetCrypt» را منتشر کرده‌اند. این موضوع در حالی است که سازندگان باج‌افزار گت‌کریپت در روزهای اخیر با بهره‌برداری از کمپین‌‌های تبلیغات مخرب و تکنیک‌های مهندسی اجتماعی، قربانیان خود را به‌وب‌سایت‌های آلوده هدایت کرده و در تلاش بوده‌اند که دستگاه‌های کاربران را آلوده سازند.

براساس خبرهای منتشر شده، به‌تازگی سازندگان باج‌افزار گت‌کریپت «GetCrypt» از طریق کمپین‌های تبلیغات مخرب و تکنیک‌های مهندسی اجتماعی، کاربران را به وب‌سایت‌های آلوده به بسته‌ بهره‌برداری RIG هدایت کرده و در تلاش بوده‌اند که دستگاه‌های آسیب‌پذیر را به این باج‌افزار آلوده کنند.

بسته‌های بهره‌برداری «Exploit Kit» مانند RIG امکان سوءاستفاده از آسیب‌پذیری‌های موجود در دستگاه‌های کاربران را برای سازندگان بدافزارها و دیگر مهاجمان فراهم می‌سازد.

 

شیوه کار باج‌افزار گت‌کریپت

بررسی‌های محققان نشان می‌دهد که باج‌افزار گت‌کریپت در زمان اجرای اولیه در سیستم عامل ویندوز، زبان تنظیم شده روی دستگاه‌های قربانیان خود را بررسی کرده و تنها در شرایطی که یکی از زبان‌های اوکراینی، بلاروسی، روسی یا قزاقستانی تنظیم نشده باشد، آغاز به رمزگذاری اطلاعات می‌کند. همچنین این باج‌افزار تنها اطلاعات موجود در پوشه‌های زیر را بررسی کرده و آن‌ها را رمزگذاری می‌کند.

 

X:\$Recycle.Bin
X:\ProgramData
X:\Users\All Users
X:\Program Files
X:\Local Settings
X:\Windows
X:\Boot
X:\System Volume Information
X:\Recovery
X:\%AppData%
 

به گفته مایکل گیلیزپای، گت‌کریپت از الگوریتم‌های رمزنگاری Salsa20 و RSA-4096 برای رمزگذاری اطلاعات قربانیان خود استفاده می‌کند و پس از رمزگذاری، ۴ کاراکتر را به پسوند فایل‌ها اضافه می‌کند. برای مثال یکی سند متنی با نام important.doc پس از رمزگذاری شدن توسط گت‌کریپت به important.doc.ELSH تغییر نام داده می‌شود.

علاوه براین، بررسی‌های محققان امنیتی نشان می‌دهد که این باج‌افزار با بررسی شبکه‌ی قربانیان خود، تلاش می‌کند که دستگاه‌های آسیب‌پذیر متصل به شبکه‌های اشتراکی را نیز آلوده کند.

 

ابزار رمزگشایی رایگان گت‌کریپت

در حال حاضر خبر خوب برای قربانیان باج‌افزار گت‌کریپت این است به‌تازگی شرکت امسی‌سافت ابزار رایگانی را برای رمزگشایی اطلاعات رمزگذاری شده توسط این باج‌افزار منتشر کرده است.

اگر شما نیز از قربانیان این باج‌افزار هستید، برای استفاده از این ابزار تنها به یک نسخه کپی از فایل رمزگذاری نشده توسط این باج‌افزار در کنار نمونه رمزگذاری شده نیاز دارید. جهت دریافت این ابزار کافیست فایل اجرایی منتشر decrypt_GetCrypt را از وب‌سایت امسی‌سافت دریافت کنید.

 

 

 

توضیحات بیشتر در:

GetCrypt Ransomware Brute Forces Credentials, Decryptor Released