April 25, 2024

แจกฟรี!!! เครื่องมือกู้ข้อมูลที่โดนแรนซัมแวร์เล่นงาน

ข่าวดีสำหรับผู้ที่โดนแรนซัมแวร์ BlackCat, Play, ESXiArgs, Qilin/Agenda และ BianLian เข้ารหัสและเรียกค่าไถ่ข้อมูล เมื่อทีมนักพัฒนา CyberArk ได้เปิดตัว “้White Phoenix” เครื่องมือที่ช่วยให้เราสามารถกู้คืนไฟล์ที่โดนแรนซัมแวร์เหล่านี้เล่นงาน ให้กลับมาใช้งานได้อีกครั้ง

ตัวถอดรหัสแรนซัมแวร์ “White Phoenix” ช่วยให้เหยื่อสามารถกู้คืนไฟล์บางส่วนที่เข้ารหัสโดยแรนซัมแวร์สายพันธุ์ที่ใช้การเข้ารหัสแบบไม่ต่อเนื่อง ซึ่งเป็นกลยุทธ์ที่ใช้โดยกลุ่มแรนซัมแวร์หลายกลุ่มที่สลับระหว่างการเข้ารหัสและไม่เข้ารหัสข้อมูล วิธีนี้ช่วยให้สามารถเข้ารหัสไฟล์ได้เร็วขึ้น

แต่กลยุทธ์นี้ทำให้เกิดจุดอ่อนในการเข้ารหัส เพราะทำให้การกู้คืนทำได้ง่ายขึ้นนั่นเอง

การกู้คืนไฟล์เหล่านี้ทำได้โดยใช้โปรแกรม 7zip และ hex editor เพื่อแยกไฟล์ XML ที่ไม่ได้เข้ารหัสของเอกสารที่ได้รับผลกระทบและดำเนินการแทนที่ข้อมูล ให้ไฟล์กลับมาใช้งานได้อีกครัั้ง

อย่างไรก็ตาม การกู้คืนข้อมูลของ White Phoenix อาจจะยังไม่สมบูรณ์ และใช้ไม่ได้กับไฟล์บางประเภท แตต่ก็ยังเป็นประโยชน์ผู้ที่ตกเป็นเหยื่อให้สามารถกู้คืนข้อมูลบางส่วนจากไฟล์ที่สำคัญออกมาได้

สามารถดาวน์โหลด White Phoenix ได้ฟรีจากลิงกนี้

ที่มา : Bleepingcomputer