Август 27th, 2023 
raven000 «Корпорация Касперского» произвела свободный аппарат RannohDecryptor, с помощью которого жертвы небезопасного шифровальщика Polyglot сумеют вернуть доступ к закодированным файлам.
Зловред Polyglot был замечен в середине сентября. Платформа идет в спам-письмах, которые имеют вредный выполняемый документ, запечатанный в RAR-архив. После старта у клиента создаётся ощущение, что ничего не случилось. Но на самом деле Polyglot воспроизводит себя под невольными именами в десяток мест и прописывается в автозапуске.
После внедрения в технологию стартует кодирование. На вид закодированные пользовательские документы не изменяются, так как их имена остаются уникальными. Но раскрыть такие документы не удастся.
Завершив кодирование, зловред меняет заставку десктопа и вводит окно с условиями выкупа. При этом клиенту рекомендуется совершенно бесплатно дешифрировать несколько документов — этим самым показывается вероятность восстановления доступа к данным. Также, если плата не выполняется в период, отмеченный мошенниками, зловред оставляет документы закодированными и самоудаляется с заражённого устройства.
Интересно, что свежий кодировщик весьма похож на достаточно давно знаменитый CTB-Locker. Невзирая на то, что совместного кода в 2-ух программах не выяснилось, Polyglot повторяет CTB-Locker практически во всем.
Тест, проведённый экспертами «Корпорации Касперского», продемонстрировал, что Polyglot применяет очень нетвердый метод генерации ключа. Из-за этого возможно оперативно выбрать ключ способом перебора и сделать аппарат, помогающий потерпевшим зловреда восстановить закодированные документы.
Опубликовано в рубрике 
