Avast wypuszcza deszyfrator dla Prometheus Ransomware. Prometheus to szczep ransomware napisany w C#, który odziedziczył dużo kodu ze starszego szczepu o nazwie Thanos.
Jak działa Prometeusz?
Prometheus próbuje udaremnić analizę złośliwego oprogramowania, zabijając różne procesy, takie jak sniffing pakietów, debugowanie lub narzędzia do inspekcji PE plików. Następnie generuje losowe hasło, które jest używane podczas Salsa20 szyfrowania.
Prometheus szuka dostępnych dysków lokalnych do szyfrowania plików, które mają jedno z następujących rozszerzeń:
db dbf accdb dbx mdb mdf epf ndf ldf 1cd sdf nsf fp7 cat log dat txt jpeg gif jpg png php cs cpp rar zip html htm xlsx xls avi mp4 ppt doc docx sxi sxw odt hwp tar bz2 mkv eml msg ost pst edb sql odb myd php java cpp pas asm key pfx pem p12 csr gpg aes vsd odg raw nef svg psd vmx vmdk vdi lay6 sqlite3 sqlitedb java class mpeg djvu tiff backup pdf cert docm xlsm dwg bak qbw nd tlg lgb pptx mov xdw ods wav mp3 aiff flac m4a csv sql ora dtsx rdl dim mrimg qbb rtf 7z
Zaszyfrowane pliki otrzymują nowe rozszerzenie .[ID-<PC-ID>].unlock. Po zakończeniu procesu szyfrowania Notatnik jest uruchamiany z żądaniem okupu z pliku UNLOCK_FILES_INFO.txt informującym ofiary, jak zapłacić okup, jeśli chcą odszyfrować swoje pliki.
Jak używać deszyfratora Avast do odszyfrowywania plików zaszyfrowanych przez Prometheus Ransomware
Aby odszyfrować pliki, wykonaj następujące kroki:
- Pobierz darmowy deszyfrator Avast.
- Uruchom plik wykonywalny. Rozpoczyna się w formie kreatora, który prowadzi Cię przez konfigurację procesu deszyfrowania.
- Na stronie początkowej możesz przeczytać informacje o licencji, jeśli chcesz, ale tak naprawdę wystarczy kliknąć „Next”.
- Na następnej stronie wybierz listę lokalizacji, które chcesz przeszukać i odszyfrować. Domyślnie zawiera listę wszystkich dysków lokalnych:
- Na trzeciej stronie musisz dostarczyć plik w jego oryginalnej formie i zaszyfrowany przez ransomware Prometheus. Wprowadź obie nazwy plików. Jeśli masz hasło szyfrowania utworzone przez poprzednie uruchomienie deszyfratora, możesz wybrać opcję „I know the password for decrypting files”:
- Na następnej stronie odbywa się proces łamania haseł. Kliknij „Start”, gdy będziesz gotowy do rozpoczęcia procesu. Podczas procesu łamania haseł wszystkie dostępne rdzenie procesorów wykorzystają większość swojej mocy obliczeniowej na znalezienie hasła odszyfrowania. Proces pękania może zająć dużo czasu, nawet do kilkudziesięciu godzin. Deszyfrator okresowo zapisuje postęp i jeśli go przerwiesz i zrestartujesz później, zaoferuje ci opcję wznowienia wcześniej rozpoczętego procesu łamania. Łamanie haseł jest potrzebne tylko raz na komputer — nie trzeba tego robić ponownie dla każdego pliku.
- Po znalezieniu hasła możesz przejść do odszyfrowania wszystkich zaszyfrowanych plików na komputerze, klikając „Next”.
- Na ostatniej stronie możesz wyrazić zgodę na tworzenie kopii zapasowych zaszyfrowanych plików. Te kopie zapasowe mogą pomóc, jeśli coś pójdzie nie tak podczas procesu odszyfrowywania. Ta opcja jest domyślnie włączona, co zalecamy. Po kliknięciu „Decrypt”, rozpoczyna się proces deszyfrowania. Pozwól deszyfratorowi działać i poczekaj, aż zakończy odszyfrowywanie wszystkich twoich plików.
IOCs
| SHA256 | Rozszerzenie pliku |
| 742bc4e78c36518f1516ece60b948774 990635d91d314178a7eae79d2bfc23b0 |
.[ID-<HARDWARE_ID>].unlock |
