Elkészült az Ukrajnában pusztító HermeticRansom ellenszere

​Elérhetővé vált egy könnyen kezelhető segédprogram a HermeticRansom nevű zsarolóvírus által okozott károk helyreállításához.
 

A HermeticRansom zsarolóvírus terjedését először az ESET biztonsági kutatói fedezték fel februárban. Nem sokkal később a károkozó világhírnevet szerzett magának, ugyanis főszerepet kapott egyes ukrán szervezetek elleni kibertámadásokban.
 
A kártékony program vizsgálatába számos biztonsági cég szállt be, mígnem a Crowdstrike jelezte, hogy sikerült egy olyan megoldást kidolgoznia, amelynek révén a HermeticRansom által titkosított állományok dekódolhatóvá válhatnak. Ehhez egy scriptet tett letölthetővé, melynek segítségével a dekódolás elvégezhető.
 
Az Avast fejlesztői úgy látták, hogy a Crowdstrike scriptje ugyan jól működik, de a használata nem túl felhasználóbarát, ezért a script köré egy grafikus felületet terveztek. Ennek révén egyszerűsödött a helyreállítási folyamat. Az ingyenes program a vállalat weboldaláról tölthető le.
 
Így működik a HermeticRansom
 
A HermeticRansom egyebek mellett a HermeticWizard nevű féreg segítségével terjed. Amikor felkerül egy számítógépre, akkor azon a Windows rendszermappáinak és rendszerfájljainak kivételével elkezdi az állományok (RSA-2048 alapú) titkosítását. Az ukrán események közepette a célja elsősorban nem az, hogy váltságdíj követélésével pénzhez juttassa a terjesztőit, hanem egyértelműen rombolásra törekszik. A Go nyelven írt károkozó azonban tartalmaz egy olyan hibát, aminek kihasználásával a biztonsági szakértőknek sikerült kihúzniuk a kártevő méregfogát, legalábbis az eddig megjelent variánsok esetében.
 
"A zsarolóvírus egy olyan implementációs hibát rejt, amelynek köszönhetően a titkosítása feltörhető. A hiba azt sugallja, hogy a vírusírók nem voltak elég jártasak a Go nyelven történő fejlesztésben, vagy idő szűkében nem kellően tesztelték a munkájukat" - vélekedtek a Crowdstrike kutatói.