Жертвы семейства шифровальщиков Dharma наконец могут вернуть свои файлы бесплатно. Ключи к вымогателю были добавлены в дешифратор Rakhni от «Лаборатории Касперского» в четверг.

Дешифратор доступен на nomoreransom.org — сайте, созданном «Лабораторией Касперского» совместно с Европолом, полицией Нидерландов и компанией Intel Security. Также ресурс предлагает средства расшифровки файлов, пораженных вымогателями Chimera, Crysis, Rakhni и другими.

Ключи для Dharma должны были появиться в общем пользовании достаточно скоро после того, как один из пользователей форума Bleeping Computer выложил их в среду. Это был пользователь под ником «gektar», который предоставил ссылку с заголовочным файлом. После анализа в «Лаборатории Касперского» ключи были признаны легитимными, однако неясна была мотивация опубликовавшего их пользователя, как и его возможная связь с разработчиками зловреда.

Лоуренс Абрамс (Lawrence Abrams), редактор сайта и форума BleepingComputer, в среду же сказал, что ключи вполне могут быть валидными, так как ключи к файлам, зашифрованным Crysis, на котором основан Dharma, также были опубликованы на форуме ранее. По словам Лоуренса, при тестировании на файлах, зараженных Rakhni, дешифратор работал безупречно.

Атаки с применением Dharma начались в ноябре прошлого года; жертвы рассказывали о том, что файлы на диске c:/ были зашифрованы и к их названию добавлено расширение «.dharma». В некоторых случаях к имени файла еще прибавлялся email-адрес формата «<email>@india.com». Исследователи обнаружили прямую связь между Dharma и Crysis, заметив схожесть в шестнадцатеричных паттернах в примечании к файлу.

«Лаборатория Касперского» опубликовала ключи к Crysis спустя короткое время после расшифровки TeslaCrypt в прошлом ноябре. Ключи к Crysis, как и ключи к Dharma, сначала появились на форуме BleepingComputer.com в виде ссылки Pastebin на заголовочный файл в C.

Категории: Вредоносные программы, Главное, Кибероборона