Hình: CyCraft
Ngày 13 tháng 7, CyCraft một công ty bảo mật Đài Loan đã phát hành ứng dụng miễn phí giúp các nạn nhân của ransomware Prometheus khôi phục một số dữ liệu của họ.
Công cụ giải mã có sẵn trên GitHub. Nó hoạt động bằng cách dò đoán khóa mã hóa được sử dụng để khóa dữ liệu của nạn nhân.
Các chuyên gia của công ty cho biết “Prometheus ransomware sử dụng Salsa20 để mã hóa dữ liệu với mật khẩu có kích thước 32 byte và có thể đoán được bằng cách brute-force”
Emsisoft, một công ty nổi tiếng với việc phá vỡ một số chủng ransomware, cho biết: “Nhược điểm duy nhất của công cụ giải mã này là nó chỉ có thể giải mã với các tệp tin kích thước nhỏ”.
Tuy nhiên, việc phát hành công cụ giải mã dường như đã có tác động đến hoạt động của băng đảng Prometheus. Sau hơn hai tuần phát hành công cụ, băng đảng Prometheus dường như đã ngừng hoạt động.
Hình: The Record
Xuất hiện lần đầu vào tháng 2 năm nay, băng nhóm này đã liệt kê hơn 40 nạn nhân trên trang web của chúng và gây chú ý với tuyên bố rằng chúng có liên kết với băng đảng REvil từng khét tiếng sau cuộc tấn công Kaseya.
Trên thực tế, hai ransomware này khác nhau rõ ràng. REvil là một phần mềm độc hại viết bằng ngôn ngữ C ++, trong khi Prometheus được xây dựng dựa trên mã nguồn của mã độc Thanos được viết bằng C #.
Một nhóm tấn công mới tên là Haron xuất hiện sau một thời gian Prometheus biến mất, nhóm này cũng hoạt động dựa trên mã Thanos, khiến một số chuyên gia tin rằng băng đảng Prometheus đã đổi tên thành Haron.
Người phát ngôn của Emsisoft không loại trừ việc công ty sẽ tạo ra một công cụ giải mã cho Prometheus và các biến thể Thanos khác để có thể khôi phục các tệp lớn. Công cụ mới nếu có sẽ được cung cấp trên trang web của công ty và NoMoreRansom portal.
Các chủng ransomware mới dựa trên Thanos cùng với các nạn nhân của nó có thể sớm xuất hiện trong thời gian tới.
Nguồn: therecord.media