اخبار

برنامه رمزگشای باج‌افزار PyLocky منتشر شد!

PyLocky خانواده‌ای از باج‌افزارهاست که با استفاده از زبان برنامه‌نویسی پایتون توسعه داده‌شده است. این باج‌افزار همه فایل‌های موجود بر روی ماشین قربانی را رمز می‌کند. برای مقابله با این باج‌افزار، Cisco یک ابزار رمزگشایی مجانی منتشر کرده است.

ازآنجاکه این ابزار نیاز به ضبط دستورات اولیه PyLocky و کنترل ترافیک ماشین آلوده را دارد، این ابزار تنها بر روی ماشین آلوده‌ای که ترافیک شبکه آن مانیتور شده است کار می‌کند.

درصورتی‌که ترافیک اولیه ضبط نشده باشد این ابزار رمزنگاری قادر به بازیابی فایل‌ها رمزنگاری‌شده نیست. این محدودیت بدان دلیل است که تماس اولیه بدافزار با سرور برای ارسال اطلاعاتی است که در فرایند رمزنگاری از آن‌ها استفاده می‌شود.

زمانی که PyLocky اجرا می‌شود، یک شناسه کاربری و رمز عبور تصادفی ایجاد می‌کند. این بدافزار اطلاعاتی را در مورد دستگاه آلوده با استفاده از WMI جمع‌آوری می‌کند. این بدافزار یک بردار تصادفی اولیه تولید کرده و پس از کدگذاری آن به Base64 به سرور ارسال می‌شود.

پس از به دست آوردن مسیر مطلق همه فایل‌های موجود بر روی ماشین قربانی، بدافزار الگوریتم رمزنگاری را صدا زده و بردار تصادفی و کلمه عبور مذکور را به آن می‌دهد. فایل‌ها پیش از آن‌که رمزنگاری شوند با استفاده از Base64 کدگذاری می‌شود.

بدافزار پس از رمزنگاری فایل پسوند «.lockedfile» را به فایل‌ها اضافه می‌کند. برای مثال فایل picyire.jpg به picture.jpg.lockedfile تبدیل می‌شود. فایل اصلی نیز با پیام باج‌خواهی پر می‌شود.

Cisco قویاً توصیه می‌کند قربانیان از پرداخت هزینه به مهاجمان خودداری کنند چراکه این امر به‌ندرت موجب بازیابی فایل‌های رمز شده می‌شود. در عوض قربانیان این باج‌افزار درصورتی‌که قادر به بازیابی فایل رمزنگاری نیستند می‌بایست از نسخه پشتیبان فایل‌ها را بازگردانند.

همواره از فایل‌های مهم خود نسخه پشتیبان بر روی ماشینی دیگر تهیه فرمایید.

ابزار رمزگشایی Cisco را می‌توانید از اینجا دانلود کنید.

مطالب مرتبط:
کلید رمزگشایی باج‌افزار FileLocker منتشر شد
باج‌افزار WannaCry همچنان در هزاران سیستم در کمین است
افزایش فعالیت باج افزار SamSam در سال ۲۰۱۸ باهدف قرار دادن سازمان‌ها

منبع: Cisco Talos

برنامه رمزگشای باج‌افزار PyLocky منتشر شد!
To Top