Шифровальщик PwndLocker обезврежен

Исследователь компании Emsisoft Фабиан Уозар обнаружил возможность расшифровки данных, заблокированных шифровальщиком PwndLocker. Этот зловред появился сравнительно недавно, но уже успел заработать определенную «репутацию». Он используется в атаках на крупные компании и сети государственных организаций. За разблокировку зашифрованных данных операторы вредоносного ПО требуют выкуп в сумме от 175 до 660 тысяч долларов – в зависимости от объема заблокированной информации. Только за последнее время жертвами его атак стали административный округ Ласаль в штате Иллинойс (США) и сербский город Нови-Сад (известно, что в последнем случае шифровальщик заблокировал порядка 50 терабайт данных).

Изучив код PwndLocker, Уозар выявил в нем уязвимость, которая позволяет восстанавливать зашифрованные данные. Определенная сложность, правда, состоит в том, что для расшифровки требуется копия исполняемого файла PwndLocker, использованного в атаке. А киберпреступники удаляют его, запустив процесс шифрования. Однако жертвы атак могут воспользоваться инструментом Windows Shadow Explorer либо другими средствами восстановления удаленных файлов. Искомый файл может находиться в папках %Temp%, C:\User или %Appdata%. Его копию следует направить по электронной почте в компанию Emsisoft, и ее специалисты окажут помощь в бесплатном восстановлении зашифрованных данных.

Источник: Bleeping Computer