Бесплатный инструмент для расшифровки файлов RannohDecryptor создан специалистами «Лаборатории Касперского». Таким образом эксперты рассчитывают помочь жертвам программы Polyglot (MarsJoke).
Распространение троянской программы MarsJoke, атакующей в том числе пользователей из России, преимущественно осуществляется через спам-письма, содержащие вредоносный файл, который упакован в RAR-архив. При внедрении в систему Polyglot не вносит внешние изменения в пользовательские файлы, но осуществляет блокировку доступа к ним. После того, как троянская программа завершила шифрование, она изменяет заставку рабочего стола, а затем демонстрирует окно с требованием выкупа. Если деньги не были выплачены вовремя, то троянская программа оставляет файлы зашифрованными и осуществляет процедуру самоудаления с инфицированного устройства.
По словам экспертов «Лаборатории Касперского», по поведению шифровальщик Polyglot очень похож на вредоносную программу CTB-Locker несмотря на то, что в них не обнаружен общий код. Polyglot и CTB-Locker имеют почти идентичные окна графических интерфейсов, последовательность действий, которые жертва должна выполнить для получения ключа, страницу оплаты и обои рабочего стола. Как выяснилось, в отличие от CTB-Locker, в Polyglot применяется слабый алгоритм создания ключа. Благодаря этому эксперты быстро подобрали ключ, используя метод перебора, и создали инструмент, который призван помочь жертвам вредоносной программы восстановить зашифрованные файлы.