Dekripsi ransomware ‘White Phoenix’ yang baru memungkinkan korban untuk memulihkan sebagian file yang dienkripsi oleh jenis ransomware yang menggunakan enkripsi intermiten.
Enkripsi terputus-putus adalah strategi yang digunakan oleh beberapa kelompok ransomware yang berganti-ganti antara mengenkripsi dan tidak mengenkripsi potongan data. Metode ini memungkinkan file dienkripsi lebih cepat sementara data tetap tidak dapat digunakan oleh korban.
Pada September 2022, Sentinel Labs melaporkan bahwa enkripsi intermiten mendapatkan daya tarik di ruang ransomware, dengan semua RaaS besar menawarkannya setidaknya sebagai opsi untuk afiliasi dan BlackCat/ALPHV yang tampaknya memiliki implementasi paling canggih.
Namun, menurut CyberArk, yang mengembangkan dan menerbitkan ‘White Phoenix,’ taktik ini memperkenalkan kelemahan pada enkripsi, karena membiarkan sebagian dari file asli tidak terenkripsi menciptakan potensi pemulihan data gratis.
Operasi ransomware yang menggunakan enkripsi intermiten meliputi BlackCat, Play, ESXiArgsQilin/Agenda, dan BianLian.
Memulihkan sebagian file yang dienkripsi
CyberArk mengembangkan White Phoenix setelah bereksperimen dengan file PDF terenkripsi sebagian, mencoba memulihkan teks dan gambar dari objek aliran.
Itu ditemukan peneliti bahwa dalam mode enkripsi BlackCat tertentu, banyak objek dalam file PDF tetap tidak terpengaruh, memungkinkan data diekstraksi.
Dalam kasus aliran gambar, memulihkannya semudah menghapus filter yang diterapkan.
Dalam kasus pemulihan teks, metode pemulihan termasuk mengidentifikasi potongan teks dalam aliran dan menggabungkannya atau membalik pengkodean hex dan pengacakan CMAP (pemetaan karakter).
Setelah berhasil memulihkan file PDF menggunakan alat White Phoenix, CyberArk menemukan kemungkinan pemulihan serupa untuk format file lain, termasuk file berdasarkan arsip ZIP.
File-file yang menggunakan format ZIP ini antara lain Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods), dan PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp) format dokumen.
Pemulihan untuk jenis file ini dicapai dengan menggunakan 7zip dan editor hex untuk mengekstrak file XML yang tidak terenkripsi dari dokumen yang terpengaruh dan melakukan penggantian data.
White Phoenix mengotomatiskan semua langkah di atas untuk jenis file yang didukung, meskipun intervensi manual mungkin diperlukan dalam beberapa kasus.
Alat ini tersedia untuk diunduh secara gratis dari CyberArk’s repositori GitHub publik.
Keterbatasan praktis
Analis melaporkan bahwa alat pemulihan data otomatis mereka harus bekerja dengan baik untuk jenis file yang disebutkan dienkripsi oleh jenis ransomware berikut:
- Kucing Hitam/ALPHV
- Mainkan ransomware
- Qilin/Agenda
- BianLian
- DarkBit
Namun, penting untuk dicatat bahwa White Phoenix tidak akan memberikan hasil yang baik dalam setiap kasus, bahkan jika didukung secara teoritis.
Misalnya, jika sebagian besar file telah dienkripsi, termasuk komponen pentingnya, data yang dipulihkan mungkin tidak lengkap atau tidak berguna. Oleh karena itu, keefektifan alat terkait langsung dengan tingkat kerusakan file.
Untuk kasus di mana teks disimpan sebagai objek CMAP dalam file PDF, pemulihan hanya mungkin jika teks atau objek CMAP tidak dienkripsi, kecuali untuk kasus yang jarang terjadi saat pengkodean hex cocok dengan nilai karakter asli.
BleepingComputer menguji White Phoenix dengan sampel kecil file PDF terenkripsi ALPHV dan file PPTX dan DOCX terenkripsi Play dan tidak dapat memulihkan data apa pun menggunakan alat tersebut.
Namun, CyberArk menjelaskan bahwa ini bisa disebabkan oleh enkripsi intermiten yang tidak digunakan dalam serangan yang kami terima dari sampel atau file yang terlalu banyak dienkripsi untuk diuraikan dengan benar.
“Tergantung pada sampel ransomware tertentu yang digunakan, ukuran file yang berbeda mungkin terlalu terenkripsi untuk memulihkan data. Jika karakter berikut tidak terlihat dalam file, kemungkinan terenkripsi sepenuhnya dan White Phoenix tidak akan dapat membantu, ” CyberArk memberi tahu BleepingComputer.
Agar White Phoenix berfungsi dengan benar, format Zip/Office harus berisi string “PK\x03\x04” dalam file yang akan didukung. Selain itu, PDF harus berisi string “0 obj” dan “endobj” agar dapat dipulihkan sebagian.
Jika White Phoenix tidak dapat menemukan string ini, ini akan menyatakan bahwa jenis file tidak didukung, seperti yang ditunjukkan di bawah dalam pengujian terbatas kami.
Sumber: BleepingComputer
Meskipun dekripsi ini mungkin tidak berfungsi untuk semua file, akan sangat membantu bagi korban untuk mencoba memulihkan “beberapa” data dari file penting.
CyberArk mengundang semua peneliti keamanan untuk mengunduh dan mencoba alat tersebut dan bergabung dalam upaya untuk memperbaikinya dan membantu memperluas dukungannya ke lebih banyak jenis file dan jenis ransomware.
