Avast выпускает бесплатный дешифратор для вируса-вымогателя FunkSec с поддержкой ИИ
Компания Avast публично выпустила бесплатный дешифратор для вируса-вымогателя FunkSec — недолговечной, но технически значимой разновидности, которая интегрировала созданные ИИ инструменты и действовала преимущественно в период с декабря 2024 года по март 2025 года.
Поскольку вирус-вымогатель теперь считается неактивным, инструмент Avast позволит жертвам восстановить зашифрованные файлы без уплаты выкупа.
Дешифратор был разработан исследователем Avast Ладиславом Зезулой в сотрудничестве с правоохранительными органами после нескольких месяцев анализа структуры и работы программы-вымогателя. FunkSec появился 4 декабря 2024 года, когда банда начала публиковать данные о жертвах на сайте утечки данных. Однако исследование Avast показывает, что группа, вероятно, начала свою деятельность исключительно с кражи данных и вымогательства, а затем перешла к внедрению вредоносного ПО для шифрования файлов. Первый известный образец программы-вымогателя появился на VirusTotal 31 декабря 2024 года, а последняя жертва была отслежена до середины марта 2025 года. Всего было зафиксировано 113 жертв, согласно записям на портале утечек данных банды.
FunkSec отличался стратегическим использованием инструментов искусственного интеллекта. Сообщается, что банда использовала ИИ для генерации шаблонов фишинговых писем и разработки вспомогательных скриптов, используемых в цепочке атак. Несмотря на это, лишь около 20% активности программы-вымогателя приходилось на контент, сгенерированный ИИ. Большая часть кода программы-вымогателя была написана вручную на языке Rust с использованием криптографической библиотеки orion-rs (v0.17.7) для реализации шифрования Chacha20 и Poly1305 для аутентификации и обеспечения целостности данных.
FunkSec зашифровывает файлы блоками по 128 байт, к каждому из которых добавляется 48 байт метаданных, в результате чего зашифрованные файлы примерно на 37% больше исходных. Заражённые файлы имеют расширение «.funksec» и сопровождаются запиской с требованием выкупа README-{random}.md в каждой заражённой папке. Во время выполнения вредоносная программа просматривает все доступные локальные диски и исключает из шифрования большое количество типов файлов, в основном документы, мультимедиа и расширения, связанные с программным обеспечением.
Файлы зашифрованы FunkSec
Avast
Перед шифрованием файлов FunkSec завершает работу нескольких популярных приложений и служб, включая браузеры, средства связи (например, Discord и Skype), медиаплееры, инструменты разработчика и системные утилиты. Он также пытается остановить критически важные службы Windows, такие как WindowsUpdate, WinDefend и CryptSvc, что, вероятно, препятствует восстановлению данных или препятствует их выполнению.
Жертвам
Avast отправлено требование о выкупе
В некоторых образцах вирус-вымогатель использует загрузку тематических обоев для рабочего стола с сайта Imgur, используя жестко запрограммированные URL-адреса с сайта Imgur. Эта особенность дизайна приводила к сбоям в работе многих образцов, когда изображения становились недоступными.
FunkSec атаковал отдельных лиц и организации ситуативно и, по всей видимости, никогда не перерастал в масштабные кампании. Низкая техническая проработка, наличие множества неисправных образцов и непоследовательность в реализации, возможно, способствовали относительно ограниченному охвату и, в конечном итоге, прекращению его деятельности.
Дешифратор вируса-вымогателя FunkSec
Avast
Дешифратор Avast доступен как в 64-битной, так и в 32-битной версиях, хотя сам вирус-вымогатель атакует только 64-битные системы. Инструмент должен быть простым в использовании, поскольку предлагает интерфейс в виде мастера, который поможет жертвам FunkSec пройти простой процесс расшифровки. Резервное копирование выбрано по умолчанию, чтобы снизить риск потери данных, поскольку при расшифровке нередко возникают проблемы с повреждением файлов.
About The Author
