CyberArk a créé une version en ligne de « White Phoenix », un décrypteur de ransomware open source ciblant les opérations utilisant un cryptage intermittent.
La société a annoncé aujourd’hui que bien que l’outil soit déjà disponible gratuitement via GitHub en tant que projet Python, elle estimait qu’une version en ligne était nécessaire pour les victimes de ransomware moins férues de technologie qui ne savent pas comment travailler avec le code.
L’utilisation du Phénix blanc en ligne est aussi simple que de télécharger des fichiers, d’appuyer sur le bouton « récupérer » et de laisser à l’outil un certain temps pour restaurer tout ce qu’il peut.
Actuellement, l’outil prend en charge les fichiers PDF, les fichiers de documents Word et Excel, les ZIPs et PowerPoint. De plus, la version en ligne a une limite de taille de fichier de 10 Mo, donc si vous cherchez à déchiffrer des fichiers plus volumineux ou des machines virtuelles (VM), la version GitHub est la seule solution.
Possibilités de chiffrement intermittent
Le chiffrement intermittent est une méthode utilisée par de nombreuses opérations de ransomware pour accélérer le chiffrement des appareils en ne chiffrant que partiellement les fichiers de la victime.
Les souches actuelles de ransomware utilisant un cryptage intermittent incluent Blackcat / ALPHV, Play, Qilin / Agenda, BianLian et DarkBit. Par conséquent, White Phoenix ne peut qu’aider les victimes touchées par ces souches.
En utilisant un cryptage intermittent, les auteurs de menaces peuvent accélérer leurs attaques tout en laissant les victimes sans moyen de restaurer leurs données sans payer.
Cependant, le cryptage intermittent présente une faiblesse, car il laisse des morceaux importants de données non cryptées dans un fichier. Si ces morceaux de données non chiffrées contiennent des informations utiles, en particulier au début et à la fin du fichier, les chances de reconstruire et de restaurer le fichier avec succès sans payer pour un déchiffreur sont augmentées.
Phénix blanc tente de récupérer du texte dans des documents en concaténant des parties non chiffrées et en inversant l’encodage hexadécimal et le brouillage CMAP (mappage de caractères).
White Phoenix est essentiellement un outil qui automatise la restauration manuelle utilisée par les experts en restauration de données, donc selon le type de fichier et le ransomware, le décrypteur peut ne pas fonctionner particulièrement bien.
CyberArk a précédemment déclaré à Breachtrace que certaines chaînes doivent être lisibles dans les fichiers en fonction de leur type pour que le déchiffreur fonctionne correctement. Par exemple, les fichiers ZIP doivent contenir la chaîne « PK\x03\x04 » et les fichiers PDF doivent contenir « 0 obj » et » endobj. »
Pour les PDF contenant des fichiers image, CyberArk suggère de cocher l’option » fichiers séparés » pour des résultats plus fiables.
Même si White Phoenix ne peut pas aider à restaurer des systèmes entiers, il peut toujours aider à restaurer des fichiers précieux ou au moins à en récupérer certaines données.
Il n’y a actuellement aucun décrypteur fonctionnel pour les familles de ransomwares mentionnées, les options de restauration sont donc très limitées, ce qui vaut la peine d’essayer White Phoenix.
Notez que si vous travaillez avec des informations sensibles, il est recommandé de télécharger White Phoenix depuis GitHub et de l’utiliser localement plutôt que de télécharger des documents sensibles sur les serveurs de CyberArk.