Ransomware-приложение DecryptorMax сумели взломать

Фабиан Восар из компании Emisoft создал приложение, способное расшифровать файлы, зашифрованные ransomware-программой под названием DecryptorMax, также известной как CryptInfinite. Такое название она получила, поскольку в её коде часто встречается строка DecryptorMax, а значение CryptInfinite прописывается в реестре Windows, сохраняя список всех зашифрованных файлов и их местоположение на диске.

DecryptorMax распространяется через документы Word, в спам-рассылках выдавая себя за резюме. Инфицирование происходит посредством макросов, которые известны среди хакеров и специалистов сетевой безопасности своими уязвимостями. Попадая в систему, программа начинает зашифровывать пользовательские файлы, добавляя к ним расширение .crinf.

В каждой папке с зашифрованными файлами оставляются записки о том, что за получение ключа для расшифровывание файлов в течение 24 часов нужно заплатить ваучерами PayPal MyCash, отправив их по одному из трёх адресов электронной почты. Также программа меняет обои на рабочем столе, удаляет теневые копии и отключает средство восстановления Windows Startup Repair, не давая пользователям загрузить резервные копии системы.

Расшифровывающее приложение получило название DecryptInfinite и позволяет вернуть свои файлы без выкупа. В главное окно приложения нужно перетащить два файла - зашифрованный файл и его незашифрованную версию. Если последняя отсутствует, можно взять любой файл формата PNG и зашифрованный файл этого же формата со своего компьютера. После этого начинается длительный процесс вычисления ключа для расшифровки файлов.