Phobos и 8Base шантажировали весь мир. Теперь тысячи файлов можно спасти одним нажатием
NewsMakerЯпония придумала ответку страшным группировкам.
До недавнего времени пользователи, пострадавшие от вымогательских программ Phobos и 8Base, фактически не имели возможности вернуть свои данные без оплаты выкупа. Эти шифровальщики считались одними из самых устойчивых и массово применяемых в мире. Но теперь появилась надежда: японская полиция разработала и опубликовала бесплатный декриптор, способный восстановить зашифрованные файлы.
Phobos впервые появился в конце 2018 года и быстро распространился благодаря схеме ransomware-as-a-service (вымогательство как услуга). Злоумышленники могли арендовать инструменты атаки у создателей и делиться с ними выкупом. Хотя в СМИ о Phobos говорили не так часто, как о других группировках, он стал настоящим конвейером атак, нацеленным в первую очередь на корпоративные системы.
В 2023 году одна из групп, сотрудничавших с Phobos, запустила собственный проект — 8Base. Он базировался на модифицированной версии оригинального шифровальщика, но отличался дополнительной угрозой: помимо шифрования данных, злоумышленники похищали их и угрожали публикацией, усиливая давление на жертв.
Решающим моментом стала международная операция, проведённая в 2024 году. Правоохранительные органы сразу нескольких стран объединились и нанесли серьёзный удар по инфраструктуре Phobos и 8Base. В ходе операции были арестованы четверо предполагаемых лидеров 8Base, изъяты 27 серверов и экстрадирован в США россиянин, которого подозревают в координации деятельности Phobos. Ему предъявлено 13 обвинений.
Считается, что именно материалы, изъятые в рамках этого расследования, позволили создать декриптор. Японцы представили его публично, не вдаваясь в технические детали. Программа доступна для загрузки на официальном сайте ведомства, а также размещена на платформе NoMoreRansom при поддержке Европола. К ней прилагается инструкция на английском языке.
Специалисты предупреждают: из-за особенностей сигнатурной проверки некоторые браузеры — например, Chrome и Firefox — могут ошибочно воспринимать файл как вредоносный и блокировать скачивание.
На текущий момент декриптор поддерживает файлы с расширениями .phobos, .8base, .elbie, .faust и .LIZARD. Но это не полный список. Даже если ваши файлы зашифрованы под другим именем, стоит попробовать — совместимость возможна.
Редакция BleepingComputer провела собственный эксперимент: на виртуальной машине была развёрнута свежая версия Phobos, которая добавляет к именам файлов суффикс .LIZARD. После запуска декриптора программа успешно восстановила все 150 зашифрованных документов.
Принцип работы утилиты достаточно понятен. Сначала необходимо принять лицензионное соглашение. Если операционная система не поддерживает длинные имена файлов, программа предложит изменить настройку и перезапустить себя. Затем пользователь указывает путь к зашифрованной папке и задаёт директорию, куда будут сохраняться восстановленные данные. Поддерживается как обработка отдельных каталогов, так и всего диска, при этом структура папок будет воссоздана полностью.
По завершении процессора алгоритм отобразит количество успешно расшифрованных файлов. В ходе теста не было зафиксировано ни одной ошибки.
До недавнего времени пользователи, пострадавшие от вымогательских программ Phobos и 8Base, фактически не имели возможности вернуть свои данные без оплаты выкупа. Эти шифровальщики считались одними из самых устойчивых и массово применяемых в мире. Но теперь появилась надежда: японская полиция разработала и опубликовала бесплатный декриптор, способный восстановить зашифрованные файлы.
Phobos впервые появился в конце 2018 года и быстро распространился благодаря схеме ransomware-as-a-service (вымогательство как услуга). Злоумышленники могли арендовать инструменты атаки у создателей и делиться с ними выкупом. Хотя в СМИ о Phobos говорили не так часто, как о других группировках, он стал настоящим конвейером атак, нацеленным в первую очередь на корпоративные системы.
В 2023 году одна из групп, сотрудничавших с Phobos, запустила собственный проект — 8Base. Он базировался на модифицированной версии оригинального шифровальщика, но отличался дополнительной угрозой: помимо шифрования данных, злоумышленники похищали их и угрожали публикацией, усиливая давление на жертв.
Решающим моментом стала международная операция, проведённая в 2024 году. Правоохранительные органы сразу нескольких стран объединились и нанесли серьёзный удар по инфраструктуре Phobos и 8Base. В ходе операции были арестованы четверо предполагаемых лидеров 8Base, изъяты 27 серверов и экстрадирован в США россиянин, которого подозревают в координации деятельности Phobos. Ему предъявлено 13 обвинений.
Считается, что именно материалы, изъятые в рамках этого расследования, позволили создать декриптор. Японцы представили его публично, не вдаваясь в технические детали. Программа доступна для загрузки на официальном сайте ведомства, а также размещена на платформе NoMoreRansom при поддержке Европола. К ней прилагается инструкция на английском языке.
Специалисты предупреждают: из-за особенностей сигнатурной проверки некоторые браузеры — например, Chrome и Firefox — могут ошибочно воспринимать файл как вредоносный и блокировать скачивание.
На текущий момент декриптор поддерживает файлы с расширениями .phobos, .8base, .elbie, .faust и .LIZARD. Но это не полный список. Даже если ваши файлы зашифрованы под другим именем, стоит попробовать — совместимость возможна.
Редакция BleepingComputer провела собственный эксперимент: на виртуальной машине была развёрнута свежая версия Phobos, которая добавляет к именам файлов суффикс .LIZARD. После запуска декриптора программа успешно восстановила все 150 зашифрованных документов.
Принцип работы утилиты достаточно понятен. Сначала необходимо принять лицензионное соглашение. Если операционная система не поддерживает длинные имена файлов, программа предложит изменить настройку и перезапустить себя. Затем пользователь указывает путь к зашифрованной папке и задаёт директорию, куда будут сохраняться восстановленные данные. Поддерживается как обработка отдельных каталогов, так и всего диска, при этом структура папок будет воссоздана полностью.
По завершении процессора алгоритм отобразит количество успешно расшифрованных файлов. В ходе теста не было зафиксировано ни одной ошибки.