A Avast, firma de segurança conhecida por seu famoso antivírus homônimo, lançou uma ferramenta para descriptografar arquivos afetados pelo ransomware FunkSec. O recurso faz parte da iniciativa No More Ransom, que busca reduzir e mitigar os impactos desses ataques cibernéticos complexos.
O descriptografador foi desenvolvido em conjunto com autoridades policiais e já está disponível para download de maneira gratuita. Esse movimento ocorre logo depois do grupo hacker ser considerado “morto”, segundo o pesquisador de malwares da Gen Digital, empresa-mãe da Avast.
Dessa forma, qualquer usuário ou empresa acometida pelo FunkSec por recuperar seus arquivos facilmente, desde que os mesmos tenham a extensão “.funksec” no final. O ransomware do grupo, que utiliza inteligência artificial, tornou-se um dos mais notórios no fim de 2024.
O que é e como funciona o FunkSec ransomware?
Como aponta a Gen Digital, as primeiras vítimas do FunkSec apareceram no site da gangue em de dezembro de 2024, e dias depois no Virus Total. Essa é uma plataforma de detecção, análise e combate de ameaças cibernéticas.
Esse ransomware é escrito em Rust, uma linguagem de programação de alto nível criada pela Mozilla. Os criminosos têm utilizado essa ferramenta por conta de sua velocidade e segurança.
Inicialmente, os hackers operavam somente com a exfiltração de dados e extorsão, mas adicionaram criptografia de dados ao processo. Essa criptografia era feita por meio de auxílio de bibliotecas orion-rs, como se fossem um pacote de ferramentas, e de métodos como Chacha20 e Poly1305 MAC. Os dois nomes se referem a um algoritmo de criptografia avançado e um código de autenticação, respectivamente.
Após o Chacha criptografar o arquivo em questão, o Poly dá um tipo de ‘carimbada’ nele para garantir que tudo ocorra bem. Todas essas etapas servem para que os criminosos sempre possam descriptografar os arquivos rapidamente e sem erros.
Um detalhe interessante dessa metodologia é que o FunkSec realiza a criptografia dos arquivos por blocos. Cada bloco tem 128 bytes, que vai adicionando 48 bytes extras de metadados a cada um deles, ou seja, tornando o arquivo final até 37% mais pesado que o original.
Confira a cronologia do FunkSec:
- 04 de dezembro de 2024: As primeiras vítimas apareceram no site de vazamento do grupo de ransomware;
- 15 de dezembro de 2024: O arquivo-fonte inicial foi enviado para o VirusTotal;
- 31 de dezembro de 2024: A primeira amostra conhecida de ransomware foi enviada para o VirusTotal;
- 15 de março de 2025: A última vítima conhecida;
- 31 de julho de 2025: descriptografador da Avast lançado para recuperação de arquivos.
Dados da Gen Digital sugerem 113 vítimas do FunkSec, incluindo violação de bancos de dados, venda de acessos e invasão em 15 sites governamentais em apenas um mês, até o grupo ser totalmente desativado. Os autores revelaram o uso de inteligência artificial para desenvolver suas ferramentas de phishing, mas apenas 20% dos golpes envolveram as IAs.
Como usar o descriptografador do FunkSec?
Para usar a ferramenta, basta clicar no link para baixar o executável e instalar a aplicação normalmente no computador. Siga o passo a passo:
- Abra a aplicação e clique em Next;
- Selecione a pasta de documentos com os arquivos afetados pelo ransomware e clique em Next;
- Marque a opção “Backup encrypted files” e clique em Decrypt;
- Pouco tempo depois, os arquivos estarão prontos para uso.
Para mais informações sobre segurança e ransomwares, fique de olho no site do TecMundo para não perder nada.
