Na przełomie lutego i marca 2022 r., firmy Avast Threat Labs i Eset zaobserwowały skok aktywności złośliwego oprogramowania w regionie Ukrainy. Teraz już wiemy, że była to trwająca do dziś aktywność HermeticRansom – ransomware’a który towarzyszy wirusom HermeticWiper i HermeticWizard.
Oprogramowanie celowo przygotowano i rozesłano przed atakiem Rosji na Ukrainę. Wirus podpisany został kradzionym certyfikatem Hermetica Digital Ltd. (analogia nazw staje się tutaj oczywista), co utrudnia wykrycie złośliwego oprogramowania. Po raz pierwszy wykorzystano je do zaatakowania ukraińskich organizacji państwowych.
Działanie wirusa
HermeticRansom jest wirusem typu
ransomware, którego zadaniem jest ukrycie obecności dwóch programów:
- HermeticWiper – odpowiada za szyfrowanie i/lub uszkadzanie plików na dysku twardym komputera.
- HermeticWizard – odpowiada za rozsyłanie złośliwych plików w sieci lokalnej (samodzielnie się rozprzestrzenia).
Niedopatrzenie i rozwiązanie
Najpewniej twórca HermeticRansom popełnił błąd podczas jego tworzenia. W trakcie testów zespół Avast odkrył, że wirus kiedy szyfruje pliki, zostawia ciąg znaków zawierający zaszyfrowany klucz RSA-2048. W oparciu o to znalezisko przygotował darmowy dekryptor, który odszyfruje pliki na zainfekowanych dyskach.
Darmowy dekryptor od Avast! [pobierz]
Avast Decryptor jest prosty w obsłudze i nie wymaga wiedzy technicznej. Po uruchomieniu kreator przeprowadzi Cię przez cały proces. Po zaakceptowaniu licencji należy wybrać dyski, które dekryptor ma przeskanować oraz zadecydować, czy mają zostać utworzone kopie zapasowe. Zalecane jest pozostawić tę opcję włączoną na wypadek niepowodzenia operacji.
Dokładna instrukcja oraz pobieranie dekryptora znajdziesz
tutaj.
Jeśli masz pytania do naszego zespołu, zostaw komentarz poniżej.
Tłumaczenie na język ukraiński (українська версія)
У лютому/березні 2022 року Avast Threat Labs та Eset помітили сплеск активності шкідливих програм в регіоні України. Тепер ми знаємо, що це була діяльність HermeticRansom – програми-вимагача, яка супроводжує віруси HermeticWiper і HermeticWizard, яка триває донині.
Програмне забезпечення було свідомо підготовлено та розповсюджено ще до нападу Росії на Україну. Вірус був підписаний вкраденим сертифікатом від Hermetica Digital Ltd. (тут стає очевидною аналогія назв), що ускладнює виявлення шкідливого ПЗ. Вперше вони були використані для нападу на українські державні організації.
Дія вірусу
HermeticRansom — це вірус-вимагач, який призначений для приховування наявності двох програм:
- HermeticWiper – відповідає за шифрування та / або пошкодження файлів на жорсткому диску вашого комп’ютера.
- HermeticWizard – відповідає за розсилку шкідливих файлів у локальній мережі (саморозповсюджується).
Огляд і рішення
Швидше за все, творець HermeticRansom зробив помилку під час його створення. Під час тестування команда Avast виявила, що, коли вірус шифрує файли, він залишає рядок із зашифрованим ключем RSA-2048. На основі цієї знахідки він підготував безкоштовний дешифратор, який буде розшифровувати файли на заражених дисках.
Безкоштовний дешифратор від Avast! [завантажити]
Avast Decryptor простий у використанні і не вимагає технічних знань. Після запуску майстер проведе вас через весь процес. Після прийняття ліцензії виберіть диски, які розшифровувач має просканувати, і вирішите, чи створювати резервні копії. Рекомендується залишити цю опцію увімкненою на випадок невдачі операції.
Ви знайдете детальну інструкцію та завантажте дешифратор тут.
Якщо у вас є запитання до нашої команди, залиште коментар нижче.
