Avast merilis decryptor gratis untuk beberapa varian ransomware Hades

idNSA.id - Avast telah merilis decryptor untuk varian Hades ransomware yang dikenal sebagai 'MafiaWare666', 'Jcrypt', 'RIP Lmao', dan 'BrutusptCrypt,' yang dapat memungkinkan korban jenis ransomware ini memulihkan file mereka tanpa membayar uang tebusan.

Perusahaan keamanan menemukan bug dalam proses enkripsi yang diterapkan oleh ransomware Hades yang dapat digunakan untuk memulihkan file yang dienkripsi oleh beberapa varian.

“Kami menemukan kerentanan dalam skema enkripsi yang memungkinkan beberapa varian didekripsi tanpa membayar uang tebusan. Sampel baru atau yang sebelumnya tidak diketahui dapat mengenkripsi file secara berbeda, sehingga mungkin tidak dapat didekripsi tanpa analisis lebih lanjut.” membaca posting yang diterbitkan oleh AVAST.

Para ahli menunjukkan bahwa ransomware Hades yang terkena cacat tidak mengekstrak data apa pun dari para korban. MafiaWare666, misalnya, adalah jenis ransomware yang ditulis dalam C# yang tidak mengandung teknik obfuscation atau anti-analisis. Kode berbahaya mengenkripsi file menggunakan enkripsi AES.

Sampel malware yang dianalisis oleh para peneliti menambahkan ekstensi berikut nama file dari file terenkripsi: .MafiaWare666, .jcrypt, .brutusptCrypt, .bmcrypt, .cyberone, .l33ch

Setelah varian MafiaWare666 menyelesaikan proses terenkripsi, ia akan menampilkan window yang memberikan instruksi pembayaran kepada para korban. Harga tebusan berkisar dari $50 hingga $300, meskipun beberapa sampel lama dengan nama berbeda menuntut hingga satu Bitcoin.

Korban varian ini dapat mengunduh decryptor gratis dari server Avast bersama dengan instruksi untuk menggunakannya.

Alat ini juga memungkinkan korban yang mengetahui kata sandi yang valid untuk mendekripsi file, tetapi tidak dapat menggunakan dekripsi yang disediakan oleh Hades, untuk mencentang kotak di UI yang disediakan oleh alat di atas.

Jika korban tidak memiliki kata sandi, mereka dapat menggunakan alat Avast untuk memecahkannya.

“Setelah kata sandi ditemukan, Anda dapat melanjutkan untuk mendekripsi semua file terenkripsi di PC Anda dengan mengklik “Next” menyimpulkan AVAST. Di halaman terakhir, Anda dapat memilih untuk mencadangkan file terenkripsi Anda. Cadangan ini dapat membantu jika terjadi kesalahan selama proses dekripsi. Opsi ini aktif secara default, yang kami sarankan. Setelah mengklik "Decrypt" proses dekripsi dimulai. Biarkan decryptor bekerja dan tunggu sampai selesai mendekripsi semua file Anda.”