محققان سایبری شرکت Profero کشف کردهاند که گروه باجافزاری RansomExx به درستی فایلهای لینوکسی به سرقت برده را رمزگذاری نکردهاند و این موضوع منجر به تخریب فایلها شده است.
در این گزارش اعلام شده است که کلید رمزگشای گروه RansomExx بر روی فایلهای مختلفی که با استفاده از رمزگذار ESXI لینوکس رمز شده بودند، به درستی عمل نکرده و این موضوع متوجه قربانیانی شده است که باج مورد درخواست این گروه را پرداخت کردهاند. بعد از انجام مهندسی معکوس بر روی این باجگیر، مشخص شد که رمزگشایی مشکل ساز که متوجه فایلهای لینوکسی شده است، ناشی از رمز شدن اشتباه فایلها در حین رمزگذاری بوده است.
در صورتی که پیش از رمز شدن فایل، باج افزار سعی کند فایل لینوکس را همزمان با نوشتن پردازه دیگری بر روی آن رمزگذاری کند، فایل نهایی رمزگذاری شده شامل هر دو داده رمزگذاری شده و رمز گذاری نشده خواهد بود. به عبارتی دیگر، نسخه لینوکس RansomEXX اصلاً سعی نکرده که فایل را رمز کند چرا که وقتی فایلی را رمزگذاری میکند، کلید رمزگشایی RSA آن را نیز به انتهای هر فایل رمز شده اضافه میکند. پس از پرداخت باج توسط قربانیان، باجگیران کلید رمزگشا برای از بین بردن قفل دادهها و اطلاعات ارسال میکنند. با این حال، به دلیل وجود این نوع رمزگذاری اشتباه، کلید دریافت شده قادر به رمزگشایی درست اطلاعات و فایلها نخواهد بود.
شرکت Profero، برای کمک به کاربران خود و جامعه امنیت سایبری، فایل رمزگشای اپن سورس RansomEXX را منتشر کرده است که میتواند فایلهای رمز شده با مشکل قفل فایل را رمزگشایی کند. با وجود اینکه مهاجمان یک ابزار رمزگشایی به قربانیانی که مبلغ باج درخواستی را پرداخت کردهاند ارائه میدهد، اما این خطر وجود دارد که ابزار دریافت شده فایلی مخرب باشد. این امر مستلزم آن است که قربانیان ابزار رمزگشایی ارائه شده را مهندسی معکوس کنند تا اطمینان حاصل شود که هیچ پی لود مخفی یا مخربی درون آن وجود ندارد. اما باید در نظر داشت که صرف زمان برای چنین اقدامی، برای بسیاری از سازمانها در هنگام حادثه باج افزاری بسیار حیاتی است.
