Инструмент работает путем брутфорса ключа шифрования, использовавшегося для шифрования файлов жертвы.
«Для шифрования файлов вымогательское ПО Prometheus использует Salsa20 с произвольным паролем на базе счетчика тиков. Размер произвольного пароля составляет 32 байта, и каждый символ является видимым. Поскольку в качестве ключа пароль использует счетчик тиков, его можно вычислить с помощью брутфорса», – сообщили в CyCraft.
Единственный минус декриптора – он может взломать криптографический ключ только для файлов небольшого размера. Однако несмотря на это, релиз инструмента, похоже, оказал огромное влияние на операции Prometheus.
Декриптор был выпущен 13 июля 2021 года, и в этот же день на сайте утечек Prometheus была сделана последняя публикация. Через две недели операторы вымогателя, очевидно, свернули свою активность.
Вымогательское ПО Prometheus впервые было обнаружено в феврале нынешнего года. До того, как группировка завершила свою деятельность, на ее сайте утечек был опубликован список более чем из сорока жертв. Она привлекла внимание общественности после заявлений о своей связи с нашумевшей группировкой REvil. Тем не менее, упоминание «звездных» вымогателей было удалено после атаки REvil на компанию Kaseya.