Исследователи по информационной безопасности выпустили инструменты для освобождения файлов, зашифрованных двумя приложениями-вымогателями: Bart и PowerWare. PowerWare известен также под именем PoshCoder и впервые появился в марте, когда использовался для атак на организации из сферы здравоохранения. Он выделялся среди вымогателей использованием Windows PowerShell.
Специалисты из компании Palo Alto Networks недавно нашли новую версию этого приложения, которая напоминает популярный вымогатель Locky. Он использует расширение в зашифрованных файлах .locky и отображает ту же записку с требованием выкупа.
Создатели PowerWare/PoshCoder не впервые подражают популярным вымогателям, показывая, что получить обратно файлы без выкупа не удастся. Раньше они использовали записки из приложений CryptoWall и TeslaCrypt. К счастью, в реальности приложение не такое надёжное, как программы, за которые оно себя выдаёт. Используется алгоритм шифрования AES-128, однако в Palo Alto сумели создать дешифратор для последней версии.
Антивирусная компания AVG на этой же неделе взломала программу Bart, появившуюся в июне. Она запирала файлы в запароленных архивах ZIP вместо использования алгоритмов шифрования. К файлам добавляется расширение .bart.zip, превращая document.docx в document.docx.bart.zip.
В AVG использовали брутфорс и взломали длинные пароли. Инструмент дешифрования требует от пользователя наличия хотя бы одного файла в зашифрованном и незашифрованном вариантах, но подбор ключа может занять несколько дней.