پلیس ژاپن یک ابزار رمزگشای رایگان برای باجافزارهای Phobos و 8Base منتشر کرده است که به قربانیان امکان بازیابی فایلهای رمزگذاریشده را بدون پرداخت باج میدهد. BleepingComputer تأیید کرده که این ابزار با موفقیت فایلها را رمزگشایی میکند.
تاریخچه باجافزارهای Phobos و 8Base
باجافزار Phobos از دسامبر ۲۰۱۸ بهعنوان یک عملیات باجافزار بهعنوان سرویس (RaaS) فعالیت خود را آغاز کرد. این باجافزار به همکاران خود اجازه میداد تا از ابزار رمزگذاری آن در حملات استفاده کنند و مبالغ باج دریافتی بین همکاران و گردانندگان تقسیم میشد. اگرچه این باجافزار نسبت به سایر عملیات مشابه کمتر مورد توجه رسانهها قرار گرفت؛ اما بهعنوان یکی از گستردهترین باجافزارها شناخته میشود که حملات متعددی را علیه کسبوکارهای سراسر جهان انجام داده است.
در سال ۲۰۲۳، گروهی از همکاران Phobos عملیات 8Base را با استفاده از نسخهای اصلاحشده از رمزگذار Phobos راهاندازی کردند. برخلاف سایر همکاران، این گروه از روش اخاذی دوگانه استفاده میکرد، به این معنا که علاوه بر رمزگذاری فایلها، دادهها را سرقت کرده و تهدید به افشای آنها در صورت عدم پرداخت باج میکردند.
در سال ۲۰۲۴، یک تبعه روس که مظنون به مدیریت عملیات Phobos بود، از کره جنوبی به ایالات متحده مسترد شد و با اتهامات ۱۳ فقرهای مواجه شد. همچنین، در عملیات هماهنگ بینالمللی اجرای قانون، ۲۷ سرور متعلق به Phobos توقیف شد و چهار تبعه روس مظنون به رهبری گروه 8Base دستگیر شدند.
جزئیات رمزگشا
پلیس ژاپن اکنون ابزار رمزگشایی را منتشر کرده که به سازمانها و افراد امکان بازیابی فایلهای رمزگذاریشده توسط باجافزارهای Phobos و 8Base را میدهد. مشخص نیست که این ابزار چگونه توسعه یافته، اما گمان میرود اطلاعات بهدستآمده از عملیات مختلکننده باجافزار در سال جاری این امکان را فراهم کرده باشد.
این رمزگشا از وبسایت پلیس ژاپن قابل دانلود است و دستورالعملهای آن به زبان انگلیسی ارائه شده است. همچنین، این ابزار از طریق پلتفرم NoMoreRansom اروپا و با حمایت Europol و FBI در دسترس است که نشاندهنده رسمی بودن آن است. با این حال، برخی مرورگرهای وب مانند Google Chrome و Mozilla Firefox این رمزگشا را بهعنوان بدافزار تشخیص میدهند که دانلود و استفاده از آن را دشوار میکند. BleepingComputer این ابزار را آزمایش کرده و تأیید کرده که نهتنها مخرب نیست، بلکه فایلهای رمزگذاریشده توسط نسخههای اخیر رمزگذار را با موفقیت رمزگشایی میکند.
این رمزگشا در حال حاضر از فایلهای رمزگذاریشده با پسوندهای “.phobos”، “.8base”، “.elbie”، “.faust” و “.LIZARD” پشتیبانی میکند. با این حال، پلیس ژاپن اعلام کرده که ممکن است پسوندهای دیگر نیز پشتیبانی شوند، بنابراین ارزش آزمایش این ابزار حتی برای فایلهایی با پسوندهای دیگر وجود دارد.
آزمایش رمزگشا
BleepingComputer این رمزگشا را روی یک ماشین مجازی آلوده به نسخه اخیر باجافزار Phobos با پسوند .LIZARD آزمایش کرد.
برای رمزگشایی فایلها، کاربر باید رمزگشا را اجرا کرده و با توافقنامه مجوز آن موافقت کند. اگر ویندوز برای پشتیبانی از نامهای طولانی فایل پیکربندی نشده باشد، رمزگشا درخواست فعالسازی این تنظیم را میدهد و از کاربر میخواهد ابزار را مجددا اجرا کند. پس از اجرا، کاربر میتواند مسیر فایلهای رمزگذاریشده را مشخص کرده و پوشهای برای ذخیره فایلهای رمزگشاییشده انتخاب کند. با کلیک روی دکمه Decrypt، رمزگشا تلاش میکند فایلها را در پوشه انتخابشده بازیابی کند. این ابزار میتواند root یک درایو را انتخاب کرده و بهصورت بازگشتی فایلها را رمزگشایی کند، در حالی که ساختار پوشهها مشابه را در مقصد بازسازی میکند. پس از اتمام فرآیند، رمزگشا تعداد فایلهایی که با موفقیت رمزگشایی شدهاند را نمایش میدهد.
BleepingComputer تأیید کرد که این رمزگشا تمام ۱۵۰ فایل رمزگذاریشده توسط نسخه LIZARD باجافزار Phobos را با موفقیت رمزگشایی کرد.
توصیه امنیتی
قربانیان باجافزارهای Phobos و 8Base باید این رمزگشا را آزمایش کنند، حتی اگر فایلهایشان پسوندهای ذکرشده را نداشته باشند؛ زیرا ممکن است همچنان کار کند.
