انتشار کلیدهای رمزگشایی برای انواع مختلف باج افزارها، به یکی از موضوعات داغ این روزها تبدیل شده است. کمی بعد از انتشار به روزرسانی های Crysis decryptor، مستر کلید برخی از انواع AESNI نیز منتشر شد – به طور مشخص برای Win32/Filecoder.AESNI.B و Win32/Filecoder.AESNI.C که با عنوان XData شناخته شده اند.
بر این اساس متخصصان ESET، ابزار AESNI decryptor را آماده کردند.
این ابزار برای رمزگشایی فایل هایی که توسط کلید RSA آفلاینی که AENSI نوع B از آن استفاده می کند، به کار می رود باج افزاری که پسوند فایل ها را به .aes256, .aes_ni, and .aes_ni_0 تغییر می دهد، همینطور برای فایل هایی که توسط باج افزار AENSI آلوده شده اند و پسوند آنها به .~xdata~ تغییر یافته است.
قربانیانی که هنوز فایل های آلوده خود را دارند می توانند این ابزار را از سایت ESET دانلود نمایند. نحوه کار آن نیز در قسمت ESET Knowledgebase شرح داده شده است.
چه کسانی این مستر کلیدها را منتشر می کنند؟
ابتدا کلیدها برای نوع A باج افزار AESNI در فروم Help برای قربانیان این باج افزار منتشر شد، به دنبال آن مستر کلید برای نوع B توسط توییتر توسط نویسندگان بدافزارها منتشر شد. بعد از چند روز یک کاربر مهمان نیز برای نوع C (aka XData)مستر کلید را در فروم منتشر کرد.
جالب توجه است با توجه به گزارش BleepingComputer,، گروه پشت این باج افزار ادعا می کنند که در حال حاضر سورس کدها به سرقت رفته و در کمپین XData اوکراین به کار رفته است.
در اصل این بدافزار در محل آلودگی محدودیت دارد که مانع انتشار آلودگی در کشور روسیه و کشورهای مشترک المنافع است. نویسندگان بدافزارهای روسی، معمولا از تاکتیک هایی استفاده می کنند که مانع پیگیرد قانونی توسط کشور خودشان شود. این محدودیت ها به نظر می رسد توسط اپراتورهای XData براساس منطقه هدف خنثی شده باشد.