Publicar chaves de descriptografia para variantes antigas de ransomware se tornou uma espécie de moda. Pouco depois do lançamento da ferramenta atualizada de descriptografia para o Crysis, foram publicadas as principais chaves de algumas das variantes da família AES-NI - especificamente Win32/Filecoder.AESNI.B e Win32/Filecoder.AESNI.C, também conhecida como XData. Com base nisso, os especialistas da ESET prepararam uma nova ferramenta de descriptografia para o AES-NI.
A ferramenta funciona em arquivos criptografados pela chave RSA offline que usa a variante B do AES-NI, que adiciona as extensões .aes256, .aes_ni e .aes_ni_0day aos arquivos afetados, bem como arquivos afetados pela variante C (ou XData) com as extensões. ~xdata~.
As vítimas que ainda possuem seus arquivos criptografados podem baixar a ferramenta da nossa página de utilitários. Para obter mais informações sobre como usá-la, acesse a nossa Base de Conhecimento.
Então, quem continua liberando essas chaves mestras?
Em primeiro lugar, as chaves para a variante A da família AES-NI foram publicadas em um fórum de ajuda para as vítimas do ransomware, seguida pela chave mestra da variante B que foi publicada no Twitter pelos que afirmam ser os autores da ameaça. Um convidado anônimo publicou a chave correspondente a variante C (XData) no fórum alguns dias depois.
Curiosamente, conforme relatado pelo BleepingComputer, o grupo que está por trás do AES-NI afirma que seu código fonte já foi roubado e posteriormente usado na campanha do XData na Ucrânia.
Originalmente, o malware tinha restrições que não permitiam que houvesse infecções na Rússia e nos países da Comunidade dos Estados Independentes (CEI). Essa é uma tática comum dos cibercriminosos russos para evitar acusações do seu próprio governo. No entanto, aparentemente, as restrições foram neutralizadas pelos operadores do XData para direcionar especificamente para essa região.
Para mais informações sobre como estar protegido contra ransomwares como o AES-NI, leia as nossas 11 dicas sobre o assunto e vejo o vídeo a seguir:
https://www.youtube.com/watch?v=S-DRjTsKDsI