Objavljen besplatni dekripter za žrtve ransomwarea Thanatos

Opisi virusa, 27.06.2018, 10:00 AM

Ransomware Thanatos koji se pojavio u februaru ove godine imao je ozbiljne propuste, zbog kojih njegovi autori nisu mogli da dešifruju fajlove žrtava čak i kada bi one platile. Međutim, rešenje za žrtve su pronašli istraživači iz Cisco Talos Grupe koji su napravili dekripter koji omogućava žrtvama da besplatno vrate fajlove.

Iako Thanatos nikada nije postigao veći uspeh u pogledu distribucije, bilo je žrtava ovog ransomwarea, a najčešće je distribuirana verzija 1.1.

Ova verzija je koristila napredniju poruku o otkupu sa upadljivo prikazanim nazivom i verzijom ransomwarea. Nazivima šifrovanih fajlova žrtava dodaje se ekstenzija .THANATOS. Na primer, fajl test.jpg posle šifrovanja bi imao sledeći naziv - test.jpg.THANATOS.

Istraživači Cisco Talosa kažu da su objavljene i druge verzije ransomwarea koje nisu sadržale nikakve kontakt informacije i izgledalo je da su dizajnirane samo sa zadatkom da unište podatke žrtava.

"U istraživanju distribucionih mehanizama koje je koristio napadač da bi zarazio žrtve i onemogućio ih da pristupe podacima na njihovom sistemu, identifikovali smo zanimljivu kampanju koja je ukazivala da bar u ovom konkretnom slučaju, napadač nije imao nameru da žrtvi obezbedi bilo koju vrstu dešifrovanja podataka", navodi se u izveštaju kompanije Cisco. "Izgleda da je malver isporučivan kao atačment u poruci na chatu koja je poslata žrtvi preko chat platforme Discord."

Pošto je Thanatos objavljen kao projekat otvorenog koda, moguće je da su drugi programeri pravili sopstvene verzije koristeći kod ransomwarea.

Da biste dešifrovali fajlove koje je šifrovao Thanatos, trebalo bi da preuzmete (ovde) Thanatos Decryptor i da ga sačuvate na desktopu. Takođe morate imati instaliran Microsoft Visual C ++ Redistributable for Visual Studio 2017 ili ćete dobiti greške o nedostajućim DLL-ovima kada pokušate da pokrenete dekripter.

Ako imate ono što vam treba, kliknite dva puta na izvršni fajl i dekripter će početi da traži fajlove za dešifrovanje. U ovom trenutku on će dešifrovatu samo sledeće vrste fajlove: .gif, .tif, .tiff, .jpg, .jpeg, .png, .mpg, .mpeg, .mp4, .avi, .wav, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .odt, .ods, .odp, .rtf, .zip, .7z, .vmdk, .psd, .lnk.

Cisco preporučuje da se dekripter pokrene na istom računaru na kome su šifrovani fajlovi. Proces dešifrovanja može da potraje, zato budite strpljivi.