Colonial Pipeline 支付440万美元赎金后得到的解密器十分鸡肋

最近，两名广为人知的勒索软件受害者收到了一个解密器，该解密器速度太慢，无法有效地快速恢复受害者的网络。

第一个是 Colonial Pipeline，它在受到DarkSide 勒索软件攻击后为解密器支付了 440 万美元的赎金。

然而，解密器太慢了，公司不得不从备份中恢复。

“一旦他们收到付款，黑客就向运营商提供了一个解密工具来恢复其瘫痪的计算机网络。该工具非常慢，以至于该公司继续使用自己的备份来帮助恢复系统，熟悉该公司的知情人士之一。努力说，”彭博社报道。

最近的受害者是爱尔兰国家医疗保健系统 HSE，该系统受到 Conti 勒索软件攻击但拒绝支付赎金。

很可能，他们意识到他们针对政府机构犯了一个错误，因此发布了免费的攻击解密器。

然而，测试解密器发现它太慢了，所以 HSE 与新西兰网络安全公司 Emsisoft 合作使用他们的解密器，据称速度是其 两倍。

Emsisoft 的通用解密器

在了解了 Emsisoft 的解密器之后，BleepingComputer 联系了 Emsisoft CTO Fabian Wosar，以了解有关 HSE 如何使用它的更多信息。

虽然 Wosar 拒绝与 HSE 分享有关他们工作的信息，但他解释说，在勒索软件操作在解密文件时做得很糟糕之后，他们创建了“通用解密器”。

例如，众所周知，Ryuk 勒索软件的解密器在解密大文件时会 出现问题，从而导致数据损坏。同样，Babuk Locker 解密器中的一个错误导致解密 ESXi 服务器时数据丢失。

除了漏洞之外，Wosar 还告诉 BleepingComputer，勒索软件操作的解密器“非常慢”，这使得它们比从备份恢复文件的效率要低得多。 

虽然 Emsisoft 的解密器是为数据安全而设计的，但它也比勒索软件团伙的解密器快得多。由于该工具来自知名且受人尊敬的网络安全公司，因此也无需检查威胁参与者的解密器是否存在恶意行为。

“我们通常会缩短休假时间。因为不需要倒车来确保它的安全，不需要先做备份，更容易部署，更好的日志，最终我们最终会变得更快，”Wosar 告诉 BleepingComputer。

Wosar 还表示，受害者同时受到多个勒索软件攻击的影响并非闻所未闻，这促使 Emsisoft 调整其解密器，以便能够加载来自不同勒索软件系列的多个解密密钥并一次性解密文件。

“解密器支持 50 多个勒索软件系列和主要变体，”Wosar 解释说。

测试 Emsisoft 的解密器

Wosar 同意允许 BleepingComputer 针对 Conti 和 DarkSide 的公开样本以及之前在恶意软件分析站点上共享的各自的解密器来测试他们的解密器。

作为测试的一部分，我们使用了一个带有 44.8 GB 驱动器和 35.1 GB 已用空间的 Windows 7 2 CPU 虚拟机。

虽然这些规格与现实生活场景中使用的规格大不相同，但它们仍然允许我们衡量 Emsisoft 解密器与勒索软件团伙提供的解密器之间的速度差异。

在我们的第一次测试中，我们使用 Conti 勒索软件加密了我们的虚拟机，大约需要 9 分钟。

虽然 Conti 提供的解密器在 22 分钟内解密了文件，但 Emsisoft 的解密器比攻击者的解密器快了大约 41%，因为它仅在 13 分钟内完成了工作，节省了 9 分钟。

然后我们对 DarkSide 勒索软件样本进行了类似的测试，加密我们的设备只用了 6 分钟。

使用 DarkSide 解密器解密我们的测试文件需要 29 分钟，而 Emsisoft 的解密器只需要 18 分钟。这使得 Emsisoft 的解密器在我们的测试中速度提高了 37%，但 Wosar 表示，具有更多 CPU 的机器性能会更好。

由于受害者通常有数千台设备和数 TB 的数据需要解密，因此解密速度提高 37% 到 41% 意义重大，并且可以从恢复过程中缩短数天甚至数周的时间。

Emsisoft 对其恢复服务收费，他们分析特定勒索软件并创建自定义解密器，但为医疗保健组织提供 免费支持。

原文来自: bleepingcomputer.com