Лаборатория вредоносных программ Emsisoft выпустила 4 июня бесплатный инструмент для расшифровки. Этот инструмент позволяет жертвам восстанавливать файлы, зашифрованные с помощью атак вымогателей Tycoon, без необходимости выкупа.
Исследователи из подразделения безопасности BlackBerry впервые обнаружили вымогателей. Они заявил в TechCrunch Tycoon использует формат файлов Java, чтобы его было труднее обнаружить перед развертыванием полезной нагрузки, которая шифрует файлы.
Как работает магнат
В беседе с Cointelegraph Бретт Кэллоу, аналитик Emsisoft, сказал:
«Tycoon – это Java-вымогатель, управляемый человеком, который, по-видимому, специально нацелен на малые предприятия и, как правило, разворачивается посредством атаки на RDP. Java-вымогатели необычны, но, конечно, не уникальны. В прошлом месяце Microsoft предупредила о другом штамме вымогателей на базе Java – PonyFinal ».
На инструменте Callow также разъяснил некоторые ограничения бесплатного инструмента «Emsisoft Decryptor для RedRum«:
«(…) Инструмент работает только с файлами, зашифрованными с помощью оригинального варианта Tycoon, а не с файлами, зашифрованными с помощью любых последующих вариантов. Это означает, что он будет работать для файлов с расширением .RedRum, но не для файлов с расширением .grinch или .thanos. К сожалению, единственный способ восстановить файлы с этими последними расширениями – заплатить выкуп ».
Мульти-ОС вымогателей
Исследователи BlackBerry отметили, что вымогатель Tycoon может работать как на компьютерах с Windows, так и на Linux, используя ту же технику запроса платежей за криптовалюту, как Bitcoin (BTC).
Последние результаты показывают, что инфекции Tycoon в основном нацелены на образовательные учреждения и компании, занимающиеся разработкой программного обеспечения. Исследователи из BlackBerry считают, что фактическое количество инфекций «вероятно, намного выше».
Кроме того, они предупреждают, что новые версии Tycoon Ransomware улучшают свою силу атаки. Ранее инструменты для расшифровки можно было использовать для восстановления файлов для нескольких жертв, но это уже невозможно.
3 июня ElevenPaths, специализированное подразделение кибербезопасности испанского телекоммуникационного конгломерата Telefonica, создало бесплатный инструмент под названием «VCrypt Decryptor». Этот инструмент предназначен для восстановления данных, зашифрованных с помощью VCryptor Ransomware в рамках международной инициативы «No More Ransomware».
