Компания по кибербезопасности Gen Digital выпустила бесплатный дешифратор для программы-вымогателя FunkSec. Это решение позволяет всем 172 известным жертвам этой группы восстановить зашифрованные файлы, не выплачивая выкуп. Публикация инструмента стала возможной, поскольку хакерская группировка считается прекратившей свою деятельность.
Последняя активность группы FunkSec на её сайте утечек данных была зафиксирована 18 марта 2025 года, после чего она не добавляла новых жертв. Этот факт позволил экспертам считать угрозу неактивной. Ладислав Зезула, исследователь из Gen Digital, заявил: «Поскольку программа-вымогатель теперь считается мертвой, мы выпустили дешифратор для публичной загрузки».
Инструмент для расшифровки файлов доступен через портал проекта No More Ransom. При этом компания Gen Digital не раскрыла, каким образом был создан дешифратор — удалось ли им найти уязвимость в криптографическом алгоритме или получить ключи иным способом.
Группировка FunkSec появилась в конце 2024 года. Аналитики полагают, что она состояла из неопытных хакеров, которые стремились к известности. В пользу этой теории говорит тот факт, что для создания видимости своей эффективности они публиковали на своем сайте утечек наборы данных, украденные в ходе старых, не связанных с ними хактивистских кампаний.
Согласно данным портала , за время своей активности FunkSec атаковала 172 организации. Географически основными целями стали компании и учреждения в США, Индии и Бразилии. Наиболее пострадавшими секторами оказались технологии, государственный сектор и образование.
Технический анализ показал, что программа-вымогатель была написана на языке программирования Rust. Этот же язык использовали такие известные вымогательские группы, как BlackCat и Agenda, что свидетельствует о применении современных инструментов разработки.
В январе 2025 года исследование компании Check Point выявило признаки того, что при создании кода FunkSec могли использоваться инструменты на основе искусственного интеллекта. Это указывает на попытку автоматизировать и усовершенствовать процесс разработки вредоносного ПО.
Для шифрования файлов FunkSec использовала криптографическую библиотеку orion-rs версии 0.17.7, применяя алгоритмы Chacha20 и Poly1305. Процесс шифрования происходил блоками по 128 байт, при этом к каждому блоку добавлялось 48 байт метаданных.
В результате такого подхода размер зашифрованных файлов увеличивался примерно на 37% по сравнению с оригиналами. Идентифицировать файлы, затронутые атакой, можно по характерному расширению «.funksec» или по уникальной структуре метаданных.
Жертвам, желающим восстановить свои данные, в первую очередь необходимо убедиться, что их файлы действительно зашифрованы программой FunkSec, проверив наличие соответствующего расширения или файловой сигнатуры.
Ключевой мерой предосторожности перед использованием дешифратора является создание резервной копии всех зашифрованных файлов. Этот шаг необходим для предотвращения необратимой потери данных в случае, если процесс восстановления завершится с ошибкой или приведет к повреждению файлов.
Изображение носит иллюстративный характер
Последняя активность группы FunkSec на её сайте утечек данных была зафиксирована 18 марта 2025 года, после чего она не добавляла новых жертв. Этот факт позволил экспертам считать угрозу неактивной. Ладислав Зезула, исследователь из Gen Digital, заявил: «Поскольку программа-вымогатель теперь считается мертвой, мы выпустили дешифратор для публичной загрузки».
Инструмент для расшифровки файлов доступен через портал проекта No More Ransom. При этом компания Gen Digital не раскрыла, каким образом был создан дешифратор — удалось ли им найти уязвимость в криптографическом алгоритме или получить ключи иным способом.
Группировка FunkSec появилась в конце 2024 года. Аналитики полагают, что она состояла из неопытных хакеров, которые стремились к известности. В пользу этой теории говорит тот факт, что для создания видимости своей эффективности они публиковали на своем сайте утечек наборы данных, украденные в ходе старых, не связанных с ними хактивистских кампаний.
Согласно данным портала , за время своей активности FunkSec атаковала 172 организации. Географически основными целями стали компании и учреждения в США, Индии и Бразилии. Наиболее пострадавшими секторами оказались технологии, государственный сектор и образование.
Технический анализ показал, что программа-вымогатель была написана на языке программирования Rust. Этот же язык использовали такие известные вымогательские группы, как BlackCat и Agenda, что свидетельствует о применении современных инструментов разработки.
В январе 2025 года исследование компании Check Point выявило признаки того, что при создании кода FunkSec могли использоваться инструменты на основе искусственного интеллекта. Это указывает на попытку автоматизировать и усовершенствовать процесс разработки вредоносного ПО.
Для шифрования файлов FunkSec использовала криптографическую библиотеку orion-rs версии 0.17.7, применяя алгоритмы Chacha20 и Poly1305. Процесс шифрования происходил блоками по 128 байт, при этом к каждому блоку добавлялось 48 байт метаданных.
В результате такого подхода размер зашифрованных файлов увеличивался примерно на 37% по сравнению с оригиналами. Идентифицировать файлы, затронутые атакой, можно по характерному расширению «.funksec» или по уникальной структуре метаданных.
Жертвам, желающим восстановить свои данные, в первую очередь необходимо убедиться, что их файлы действительно зашифрованы программой FunkSec, проверив наличие соответствующего расширения или файловой сигнатуры.
Ключевой мерой предосторожности перед использованием дешифратора является создание резервной копии всех зашифрованных файлов. Этот шаг необходим для предотвращения необратимой потери данных в случае, если процесс восстановления завершится с ошибкой или приведет к повреждению файлов.
