iStock
Ataki ransomware nie są niczym nowym, ale dwa ostatnie trafienia przyciągnęły wiele uwagi, a w obu przypadkach deszyfrator był zbyt powolny, by zdziałać coś dobrego. Zasadniczo ofiary często uciekają się do tworzenia kopii zapasowych lub znajdują inne rozwiązanie, nawet po zapłaceniu okupu za klucz odszyfrowujący.
Nowy raport od BleepingComputer szczegółowo opisuje całą sytuację. Wyjaśnienie, że szeroko nagłośnione włamanie do Colonial Pipeline spowodowało zapłacenie okupu w wysokości 4,4 miliona dolarów za deszyfrator. Niestety, deszyfrator Darkside był tak powolny, że firma przywróciła wszystko z kopii zapasowych zamiast używać klucza, mimo że zapłacił.
W innej sytuacji, HSE, irlandzki system opieki zdrowotnej, został trafiony atakiem Conti, ale odmówił zapłaty okupu. Grupa Conti ransomware ostatecznie udostępniła klucz deszyfrujący za darmo, prawdopodobnie po tym, jak zorientowała się, że uderzyła w agencję rządową. Podobnie jak w przypadku kolonii, ten klucz był zbyt wolny. Ostatecznie HSE współpracowało z nowozelandzką firmą zajmującą się cyberbezpieczeństwem o nazwie Emsisoft, której dekrypter jest dwa razy szybszy.
Nie mówimy, że te firmy powinny lub nie powinny płacić. Trudno o tym dyskutować, kiedy jest to szpital albo, wiesz, rurociąg tak duży jak Colonial, na którym polega cały kraj. To powiedziawszy, wygląda na to, że nawet jeśli płacą, własne narzędzie do odzyskiwania hakerów jest ledwo tego warte.
Podczas testów BleepingComputer użycie niestandardowego narzędzia deszyfrującego, takiego jak Emsisoft, pomogło przywrócić zhakowany system do 41% szybciej niż narzędzie dostarczone przez jakąkolwiek konkretną grupę oprogramowania ransomware. To może nie wydawać się dużo, ale gdy odszyfrujesz tysiące urządzeń i terabajtów danych, może to przyspieszyć ten proces o kilka dni, a nawet tygodni.
Jeśli chodzi o odbudowę czegoś takiego jak rurociąg kolonialny lub system opieki zdrowotnej, czas to pieniądz, a co ważniejsze, czas może uratować życie.
Emsisoft pobiera również opłaty za usługi przywracania, ale przynajmniej nie umożliwia to ani nie zachęca grup ransomware do dalszego robienia tego.
przez BleepingComputer