A CyberArk lançou uma versão online do ‘White Phoenix’, um decifrador de ransomwareAMP de código aberto que visa operações que utilizam encriptação intermitente. Esta ferramenta pode ajudar a recuperar ficheiros parcialmente encriptados por ransomwares que utilizam este método.
A encriptação intermitente é uma técnica utilizada por muitos operadoresAMP de ransomwareAMP para acelerar a encriptação de dispositivos, encriptando apenas uma parte dos ficheiros da vítima. Isto pode fazer com que seja mais difícil para os utilizadores restaurar os seus dados, uma vez que apenas alguns dos seus ficheiros estarão disponíveis.
O White Phoenix é basicamente uma ferramenta que automatiza o processo de restauro manual utilizado por especialistas em recuperação de dados. No entanto, o sucesso do decifrador depende do tipo de ficheiro e do ransomwareAMP específico que o encriptou.
O White Phoenix funciona analisando o código utilizado pelo ransomwareAMP para encriptar os ficheiros. A ferramenta procura por chaves de encriptação que possam ser usadas para decifrar os ficheiros parcialmente encriptados.
Embora o White Phoenix possa ser uma ferramenta útil para recuperar ficheiros parcialmente encriptados, não é uma solução garantida. Se o ransomwareAMP utilizado for muito recente ou se o tipo de ficheiro não for suportado, o decifrador pode não ser capaz de recuperar os dados.
Actualmente, o White Phoenix suporta ficheiros PDF, documentos do Word e Excel, ficheiros ZIP e apresentações do PowerPoint. A versão online tem um limite de tamanho de ficheiro de 10MB, pelo que, se precisar de decifrar ficheiros maiores ou máquinas virtuais (VMs), terá de utilizar a versão disponível no GitHub.
A melhor maneira de evitar ataques de ransomwareAMP é manter o software atualizado e utilizar uma solução de segurançaAMP eficaz. Os utilizadores também devem evitar abrir anexos de e-mails de remetentes desconhecidos e clicar em links suspeitos.
Conclusão
O White Phoenix é uma ferramenta útil que pode ajudar a recuperar ficheiros parcialmente encriptados por ransomwares que utilizam encriptação intermitente. No entanto, não é uma solução garantida e não deve ser visto como um substituto para práticas de segurançaAMP sólidas.