CyberArk cho biết, mặc dù công cụ này đã được cung cấp miễn phí trên GitHub, nhưng họ cảm thấy cần có một phiên bản trực tuyến cho những nạn nhân ransomware ít hiểu biết về công nghệ hơn. Việc sử dụng White Phoenix trực tuyến cũng đơn giản bằng các thao tác như tải tệp lên, nhấn nút "khôi phục" và cho phép công cụ này có thời gian để khôi phục mọi thứ có thể.
Hiện tại, công cụ này hỗ trợ các tệp tài liệu PDF, Word và Excel, ZIP và PowerPoint. Ngoài ra, phiên bản trực tuyến giới hạn kích thước tệp là 10MB, vì vậy nếu bạn muốn giải mã các tệp lớn hơn hoặc máy ảo (VM), phiên bản GitHub là lựa chọn duy nhất.
Mã hóa gián đoạn
Các chủng ransomware hiện tại sử dụng mã hóa gián đoạn bao gồm Blackcat/ALPHV, Play, Qilin/Agenda, BianLian và DarkBit. Do đó, White Phoenix chỉ có thể giúp đỡ những nạn nhân bị những nhóm này tấn công.
Mã hóa gián đoạn là một phương pháp được nhiều nhóm ransomware sử dụng để tăng tốc độ mã hóa thiết bị bằng cách chỉ mã hóa một phần tệp của nạn nhân. Tuy nhiên, mã hóa gián đoạn có một điểm yếu là nó để lại một lượng lớn dữ liệu không được mã hóa trong một tệp. Nếu những khối dữ liệu không được mã hóa này chứa thông tin hữu ích, đặc biệt là ở phần đầu và phần cuối của tệp thì cơ hội xây dựng lại và khôi phục tệp thành công mà không phải trả phí giải mã sẽ tăng lên.
White Phoenix cố gắng khôi phục văn bản trong tài liệu bằng cách ghép các phần không được mã hóa và bằng cách đảo ngược mã hóa hex và xáo trộn CMAP (ánh xạ ký tự). Tùy thuộc vào loại tệp và phần mềm ransomware, bộ giải mã có thể hoạt động không được hiệu quả như mong đợi.
CyberArk cho biết rằng, một số chuỗi nhất định cần phải đọc được trong các tệp, tùy thuộc vào loại của chúng để bộ giải mã hoạt động chính xác, ví dụ: tệp ZIP phải chứa chuỗi "PK\x03\x04" và tệp PDF cần chứa "0 obj" và "endobj."
Đối với các tệp PDF chứa hình ảnh, CyberArk lưu ý người dùng nên chọn tùy chọn "tệp riêng biệt" để có kết quả đáng tin cậy hơn.
Ngay cả khi White Phoenix không thể giúp khôi phục toàn bộ hệ thống, nó vẫn có thể giúp khôi phục các tệp có giá trị hoặc ít nhất là khôi phục một số dữ liệu từ chúng.
Công ty cũng lưu ý thêm rằng nếu người dùng đang cần khôi dữ liệu chứa các thông tin nhạy cảm, người dùng nên tải xuống White Phoenix từ GitHub và sử dụng cục bộ thay vì tải các tài liệu nhạy cảm lên máy chủ CyberArk.