Криптовирусите са тук и вземайки предвид това, че са жизнени вече повече от 30 години, едва ли скоро ще изчезнат. Борбата с тях е изключително неравна и веднъж попаднала в системата, спасение много рядко има. Това, на което може да се надява жертвата е да се появи декриптор за конкретната рансъмуер заплаха или киберпрестъпниците да са допуснали грешка в налагането на криптографския механизъм. Има и още една надежда: самите автори на заплахата да публикуват съответните ключове, с които да спасите данните си. Точно такъв е случая с LockBit. Наскоро неговите автори публикуваха декриптор за конкретна атака, след като техни „партньори“ атакували системите на детска болница, предава Bleeping Computer.
LockBit е съвременна рансъмуер група, действаща по бизнес модела на „рансъмуер, като услуга“ (ransomware-as-a-service, RaaS), като освен криптиране на устройства в мрежата на жертва, краде чувствителна информация от мрежата и иска откуп, за да не я публикува в Интернет. LockBit обясняват на сайта си, че атаката към „Болницата за болни деца“ (Hospital for Sick Children, SickKids), канадска медицинска институция, е проведена от страна на техни партьори. След като разбрали за атаката, те ги изключили от партньорската си програма и решили да помогнат на болницата, публикувайки декриптор. В резултат от инцидента, болничните власти трябвало да забавят обработката на данните от диагностични прегледи и рентгеновите изследвания, както и приема на пациенти.
Bleeping са получили достъп до декриптиращата програма, която се оказала единствено насочена към Linux/VMware ESXi инстанции, което предполага, че в атаката са пострадали единствено виртуални машини на SickKids. LockBit твърдят, че политиките им забранява криптирането на данни в здравни институции, тъй като това може да доведе до смърт, макар че кражбата на информация от подобни заведения е разрешена. Но изглежда сякаш LockBit търсят някакъв вид съчувствие и те вече имат в историята си сходна атака, когато криптират и крадат данни от френска болница, след което искат $10 000 000 откуп. Освен това, настоящата атака се е провела още на 18-ти миналия месец, а декрипторът – в края на декември.
