Исследователи из голландской компании Tesorion создали утилиту для восстановления файлов, заблокированных шифровальщиком Nemty. Декриптор пока доступен по запросу на сайте разработчиков, однако в перспективе им можно будет воспользоваться через ресурс NoMoreRansom.

Windows-зловред Nemty впервые попал в поле зрения специалистов по ИБ в середине августа. Новый штамм вымогательского ПО примечателен тем, что отказывается шифровать данные на машинах, расположенных в странах бывшего СНГ. Распространяется он разными способами — через уязвимые RDP-службы, веб-атаки с использованием социальной инженерии, с помощью эксплойт-паков.

Новый шифровальщик умеет удалять теневые копии Windows, чтобы жертва не могла ими воспользоваться для восстановления данных, а также принудительно завершать процессы и службы, мешающие выполнению его основной задачи. Авторы Nemty постоянно его совершенствуют и за два месяца выпустили несколько обновлений.

По свидетельству Bleeping Computer, созданный в Tesorion декриптор пока работает в применении к версиям 1.4 и 1.6 зловреда, но скоро будет пригоден и для 1.5. На настоящий момент спектр файловых расширений, поддерживаемых утилитой, ограничен, однако разработчики каждый день добавляют новые типы файлов в ее арсенал.

Чтобы воспользоваться декриптором, жертва заражения должна обратиться в Tesorion за помощью и по предложенной ссылке выгрузить файл, зашифрованный Nemty. Генерация ключа расшифровки осуществляется на сервере компании, который выдает результат и загружает его в утилиту.

Такой порядок был установлен, чтобы авторы зловреда не смогли добраться до декриптора и взломать алгоритм. Для подобных опасений уже есть основания: в коде новейшей версии Nemty, 1.6, вирусописатели оставили послание своим противникам: tesorion thanks for your article («Tesorion, спасибо за статью»).

Экспертам Bleeping Computer была предоставлена возможность убедиться в работоспособности нового декриптора. Они говорят, что утилита уже расшифровывает большинство файлов, обычно создаваемых пользователями: документы Office, видео, графику. Компания Tesorion в настоящее время ведет переговоры с Европолом о включении ее декриптора в коллекцию NoMoreRansom.

Категории: Вредоносные программы, Кибероборона