CyberArk baru-baru ini memperkenalkan versi online dari ‘White Phoenix,’ sebuah alat dekripsi ransomware secara “Open Source” yang dirancang untuk melawan enkripsi intermittent yang digunakan oleh berbagai operasi ransomware. Sementara alat ini awalnya tersedia sebagai proyek Python di GitHub, perusahaan sekarang membuatnya lebih mudah diakses oleh korban yang kurang berpengalaman dalam teknologi dengan menyediakan versi online.
Iterasi online ini menyederhanakan proses dekripsi bagi korban yang tidak akrab dengan pemrograman. Pengguna dapat dengan mudah mengunggah file mereka, memulai proses pemulihan dengan mengeklik tombol “recover,” dan menunggu saat alat mencoba mengembalikan data yang dienkripsi. White Phoenix online saat ini mendukung berbagai format file, termasuk PDF, dokumen Word dan Excel, ZIP, dan file PowerPoint. Namun, ini memberlakukan batasan ukuran file sebesar 10MB, mendorong pengguna dengan file lebih besar atau mesin virtual untuk menggunakan versi GitHub.
Enkripsi intermittent adalah taktik yang digunakan oleh operasi ransomware seperti Blackcat/ALPHV, Play, Qilin/Agenda, BianLian, dan DarkBit untuk mempercepat enkripsi perangkat dengan hanya sebagian mengenkripsi file korban. White Phoenix secara khusus menargetkan korban yang terkena oleh varian-varian ini, memanfaatkan kemampuan pemulihan otomatisnya untuk mendapatkan kembali teks dalam dokumen. Alat ini menggabungkan bagian yang tidak dienkripsi, membalikkan encoding hex, dan menangani perangkat CMAP untuk merekonstruksi file.
Meskipun memiliki kemampuan tersebut, White Phoenix tidak sepenuhnya dapat diandalkan, karena efektivitasnya tergantung pada jenis file dan ransomware tertentu yang digunakan. CyberArk menekankan bahwa beberapa string harus dapat dibaca dalam file agar dekripsi berfungsi dengan benar. Misalnya, file ZIP harus mengandung string “PK\x03\x04,” dan file PDF harus mengandung “0 obj” dan “endobj.” Alat ini mungkin tidak begitu efisien dengan beberapa jenis file atau varian ransomware tertentu.
Meskipun White Phoenix tidak menjamin pemulihan sistem secara keseluruhan, alat ini berfungsi sebagai sumber daya berharga untuk mendapatkan kembali file penting dan mengekstrak data dari sistem yang terpengaruh. Dalam ketiadaan dekripsi yang berfungsi untuk keluarga ransomware yang disebutkan, alat ini memberikan opsi yang layak bagi korban yang ingin mendapatkan kembali akses ke data mereka. Penting untuk dicatat bahwa bagi pengguna yang berurusan dengan informasi sensitif, disarankan untuk mengunduh White Phoenix dari GitHub dan menggunakannya secara lokal daripada mengunggah dokumen rahasia ke server CyberArk, memastikan keamanan dan privasi yang lebih besar selama proses dekripsi.
