Khonsari Ransomware

O Khonsari ransomware foi o primeiro grupo a explorar as conhecidas vulnerabilidades do Apache Log4j (CVE-2021-44228 e CVE-2021-45046), o grupo concentrou os seus ataques em servidores Windows que não tiveram o Log4j actualizado.

O primeiro registo do grupo ocorreu em Dezembro de 2021, o que tudo indica que o grupo foi criado para explorar directamente as vulnerabilidades do Apache Log4j, mas isto pode ser apenas o início, o grupo pode alargar o seu âmbito.

Ao contrário dos grupos que utilizam tácticas RaaS, o Khonsari é um grupo fechado e exclusivo, o que mostra que os seus ataques são dirigidos a empresas específicas.

O malware é relativamente simples e pequeno, pesa apenas 12 KB, o que o torna praticamente imperceptível para os antivírus, o grupo actua apenas com encriptação e não há roubo de ficheiros.

O grupo utiliza criptografia AES 128, e curiosamente a chave de desencriptação também é encriptada, mas é utilizada a encriptação RSA.

A chave permanece na nota de resgate que é aberta automaticamente após a encriptação dos ficheiros, a extensão .khonsari é adicionada a todos os ficheiros encriptados.

Caso a nota seja apagada, os ficheiros não podem ser desencriptados uma vez que a chave foi apagada juntamente com a nota.

Se a chave de desencriptação for eliminada, apenas uma empresa especializada na recuperação de ficheiros encriptados por ransomware pode recuperar os ficheiros.

A melhor defesa contra o Khonsari ransomware é manter o Log4j actualizado.

Recuperar Ficheiros Encriptados por Khonsari Ransomware

A recuperação de ficheiros encriptados pelo Khonsari ransomware é possível mesmo sem a chave de desencriptação, o Digital Recovery é capaz de o fazer.

Com mais de duas décadas no mercado da recuperação de dados, desenvolvemos a perícia para actuar nos mais drásticos cenários de perda de dados, que hoje em dia se resume à perda de dados por ataque de ransomware.

Podemos recuperar ficheiros encriptados em HDD, SSDs, Base de Dados, Armazéns (NAS, DAS, SAN), Sistemas RAID, Servidores, Máquinas Virtuais, entre outros.

Todos os nossos processos são exclusivos e personalizados para cada cliente, durante todo o processo o cliente estará em contacto com um dos nossos especialistas.

Os nossos processos foram desenvolvidos com base no GDPR (Regulamento Geral de Protecção de Dados) e fornecemos a todos os nossos clientes o acordo de confidencialidade (NDA).

Contacte-nos e inicie agora mesmo o processo de recuperação.

Estamos
sempre online

Preencha o formulário ou selecione sua forma de contato preferida. Entraremos em contato com você para iniciar a recuperação de seus arquivos.

Últimos insights dos nossos especialistas

Recuperar memoria flash

O Que é Memória Flash?

Desde a sua invenção nos anos 80, a memória Flash revolucionou o armazenamento de dados digitais. Essencial para dispositivos móveis, câmaras digitais, unidades de armazenamento

LEIA MAIS →

Através de tecnologias exclusivas a Digital Recovery pode trazer de volta dados criptografados em qualquer dispositivo de armazenamento, oferecendo soluções remotas em qualquer parte do mundo.

Descubra vulnerabilidades invisíveis de TI com o 4D Pentest da Digital Recovery