olduğunu belirleyebilir, bu nedenle kötü üstbilgiyi iyi üstbilgiyle değiştirir ve yeniden işlevsel bir dosyanız olur” diyor.
Beyaz Anka kuşu
Cyberark, ” adını verdiği bir araç geliştirdi.Beyaz Anka kuşuçeşitli dosya biçimlerinde aralıklı olarak şifrelenen belgelerden veri kurtarma işlemini otomatikleştirir. Bunlar arasında PDF; docx ve docm gibi Word biçimleri; xlxm, xltx ve extm gibi Excel biçimleri; pptx, pptm ve ptox gibi PowerPoint biçimleri bulunur. ; ve Zip.Cyberark, White Phoneix’in ihtiyacı olan tek şeyin, kısmen şifrelenmiş dosyaya giden yol ve kurtarılan içeriği kaydetmek için bir klasöre giden yol olduğunu söyledi.
Güvenlik satıcısı, “Tıpkı bozuk dosyalardan veri kurtarmaya yardımcı olacak birçok araç olduğu gibi, aralıklı şifrelemeye tabi tutulmuş dosyalardan veri kurtarmak için araçlar olabilir” dedi. GitHub aracılığıyla kullanılabilir.
Cyberark araştırmacıları, White Phoenix’i BlackCat’in şifrelediği belgelere karşı test etti; Play, Qilin, BianLian ve DarkBit gibi diğer kötü amaçlı yazılım araçlarının yalnızca kısmen şifreleyebileceği dosyalarda çalışabileceğine inanıyorlar.
“White Phoenix’in kısmen şifrelenmiş dosyaları kurtarabilmesi için verilerin kurtarılabilecek şifrelenmemiş bölümlerinin olması gerekir,” diyor Thompson. “Hasarlı dosyaların bölümlerini onarabilir veya değiştirebilirsek, dosyada bulunan verileri kurtarabiliriz.”
Bulanık hatlar
Aralıklı şifreleme, bir bakıma 2021’de LockBit fidye yazılımıyla başlayan bir trend. Geçen Eylül ayında SentinelOne araştırmacıları, LockFile analizlerinin kötü amaçlı yazılımın yalnızca şifrelemeyi nasıl gösterdiğini açıkladılar. bir dosyanın her 16 baytında bir. Tehdit aktörünün, dosyaları tam disk şifrelemeyle mümkün olandan daha kısa bir zaman diliminde daha fazla sisteme bulaştırabilmeleri için onları kullanılamaz hale getirmeye yetecek kadar şifrelediğini gördüler.
LockFile’dan bu yana, diğer birçok tehdit aktörü de aralıklı şifrelemeyi benimsedi çünkü bu yaklaşım onlara kötü amaçlı yazılımlarını diske yazılan içerik miktarına bakmak için tasarlanmış algılama sistemlerini gizlice geçme fırsatı da veriyor.
BlackCat vakasında Cyberark, kötü amaçlı yazılımın altı olası şifreleme moduyla yapılandırıldığını keşfetti. Örneğin, kötü amaçlı yazılım tam dosya şifrelemesi yapabilir veya dosyanın yalnızca başını şifreleyebilir. BlackCat ayrıca dosyaları eşit boyutlu parçalara ayırabilir ve ardından her bir yığının ilk birkaç baytını şifreleyebilir veya dosyanın boyutuna ve türüne bağlı olarak farklı şekilde şifreleyebilir.
Cyberark, “Aralıklı şifreleme, dosyaları bozmak ile dosyaları gerçekten kullanılamaz hale getirmek arasındaki çizgiyi bulanıklaştırmaya başlar” dedi. Ancak “bozuk dosyalardan veri kurtarmaya yardımcı olacak birçok araç olduğu gibi, aralıklı şifrelemeye tabi tutulmuş dosyalardan veri kurtarmaya yönelik araçlar da olabilir.”
