Специалисты компании Tesorion препарировали относительно новую программу-вымогатель Lorenz, благодаря чему удалось создать дешифратор для пострадавших файлов. Воспользоваться этим способом восстановления данных можно абсолютно бесплатно.
Напомним, что исследователи предупреждали о появлении нового шифровальщика Lorenz в мае 2021 года. Уже на тот момент операторам вредоноса удалось пробить защиту множества организаций по всему миру.
Злоумышленники требовали сотни тысяч долларов за возврат зашифрованных файлов в прежнее состояние. Дополнительно они пытались надавить на жертву угрозой публикации украденных в ходе атаки данных.
Как правило, сумма выкупа в случае Lorenz варьировалась от 500 до 700 тысяч долларов. Но тут на помощь пострадавшим организациям пришли эксперты из Tesorion. Исследователям удалось проанализировать шифровальщик и написать собственный бесплатный дешифратор. Tesorion планирует выпустить свою разработку через проект NoMoreRansom.
Стоит отметить, что Lorenz при шифровании использует комбинацию RSA и AES-128. Для каждого файла генерируется собственный пароль, а ключ шифрования извлекается с помощью функции CryptDeriveKey. Судя по всему, вредоносная программа написана на C++.
Согласно отчёту Tesorion, Lorenz добавляет к файлам расширение «.Lorenz.sz40» и содержит баг в процессе шифрования (в частности, при использовании функции CryptEncrypt).
