Megmenthetők a BlackByte zsarolóvírus által tönkretett fájlok

​Elkészült a BlackByte zsarolóvírus ellenszere, így azok a fájlok, amiket ez a károkozó tett tönkre, mostantól ingyenesen helyreállíthatóvá váltak.
 

A Trustwave SpiderLabs biztonsági kutatói hozzájutottak egy olyan dekódoló kulcshoz, amely a BlackByte nevű zsarolóvírushoz kötődött. Ennek felhasználásával egy kis segédprogramot fejlesztettek ki, aminek révén könnyen helyreállíthatóvá válhatnak a szóban forgó károkozó által kompromittált állományok. 

A SpiderLabs egy elemzést is készített a BlackByte működéséről. Ebből kiderül, hogy a zsarolóvírus egy viszonylag összetett ransomware program, amely a fájlok titkosítása előtt számos előkészítő tevékenységet végez. Így például feltérképezi a területi és nyelvi beállításokat, és ha azt észleli, hogy orosz nyelvterületen működik a számítógép, akkor nem fertőz. Ellenkező esetben tovább folytatja a kiszemelt számítógép átvizsgálását, és olyan programok, folyamatok után kutat, amik megakadályozhatják vagy detektálhatják a ténykedését. Eközben gondoskodik arról, hogy a számítógép a titkosítás során ne kerüljön energiatakarékos (például alvó) üzemmódba. 

A BlackByte a fertőzött számítógépeken törli az árnyékmásolatokat, a Windows helyreállítási pontjait, kiüríti a Lomtárat, engedélyezi a hálózati megosztásokat és az SMBv1 protokoll használatát, majd a számítógéphez mindenki számára hozzáférést biztosít. Emellett feltérképezi a hálózatot, és ha tartományvezérlőt (AD) is talál, akkor arról megkísérli lekérdezni a tartományi gépeket, majd azokra megpróbálja feljuttatni a saját kódját. Ilyen módon helyi hálózatokban is gyors terjedésre képes. 

A zsarolóprogram a váltságdíj követelésekor megemlíti, hogy adatokat is lopott, amikkel szintén igyekszik félelmet kelteni. Ugyanakkor a biztonsági kutatók eddig nem találtak benne olyan összetevőt, amely alkalmassá tenné adatszivárogtatásra.