Лаборатория вредоносных программ Emsisoft выпустила бесплатный инструмент для расшифровки 4 июня. Этот инструмент позволяет жертвам восстанавливать файлы, зашифрованные с помощью атак вымогателей Tycoon, без необходимости выкупа.
Исследователи из подразделения безопасности BlackBerry впервые обнаружили вымогателей.В TechCrunch заявили, что Tycoon использует формат файлов Java, чтобы его было сложнее обнаружить перед развертыванием полезной нагрузки, которая шифрует файлы.
Как работает магнат
В беседе с Cointelegraph Бретт Кэллоу, аналитик Emsisoft, сказал:
«Tycoon – это Java-вымогатель, управляемый человеком, который, по-видимому, специально нацелен на малые предприятия и, как правило, разворачивается посредством атаки на RDP.Java-вымогатели необычны, но, конечно, не уникальны.В прошлом месяце Microsoft предупредила о другом штамме вымогателей на базе Java – PonyFinal ».
В этом инструменте Callow также разъяснил некоторые ограничения бесплатного инструмента «Emsisoft Decryptor for RedRum»:
«(…) инструмент работает только с файлами, зашифрованными с помощью оригинального варианта Tycoon, а не с файлами, зашифрованными с помощью любых последующих вариантов.Это означает, что он будет работать для файлов с расширением .RedRum, но не для файлов с расширением .grinch или .thanos.К сожалению, единственный способ восстановить файлы с этими последними расширениями – заплатить выкуп ».
Мульти-ОС вымогателей
Исследователи BlackBerry отметили, что вымогатель Tycoon может работать как на компьютерах с Windows, так и на Linux, используя тот же метод запроса платежей за криптовалюту, как Bitcoin (BTC).
Последние результаты показывают, что инфекции Tycoon в основном нацелены на образовательные учреждения и компании, занимающиеся разработкой программного обеспечения.Исследователи из BlackBerry считают, что фактическое количество инфекций «вероятно, намного выше».
Кроме того, они предупреждают, что более новые версии вымогателей Tycoon улучшают свою силу атаки.Ранее инструменты для расшифровки можно было использовать для восстановления файлов для нескольких жертв, но это уже невозможно.
3 июня ElevenPaths, специализированное подразделение кибербезопасности испанского телекоммуникационного конгломерата Telefonica, создало бесплатный инструмент под названием «VCrypt Decryptor».Этот инструмент предназначен для восстановления данных, зашифрованных VSryptor Ransomware в рамках международной инициативы «No More Ransomware».