Pod adresem https://nomoreransom.cert.pl/vortex udostępniamy Państwu narzędzie, które może pomóc odzyskać klucz szyfrujący ransomware’u Vortex (znanego także jako Flotera lub Polski Ransomware). Narzędzie jest skuteczne w odniesieniu do części kampanii obserwowanych w 2017 i 2018 roku.

Vortex dystrybuowany był za pośrednictwem licznych, analizowanych przez CERT Polska kampanii spamowych, wykorzystujących między innymi wizerunek: P4 sp.z.o.o, sklepu ZARA, PayU – płatności kartą dla Cinema City, Netii, eBOK-u Multimedii, Paczki w Ruchu, Nationale Nederlanden, Generalnego Inspektora Ochrony Danych Osobowych, PKO Leasing, spółki Zastępczy Pojazd, mBanku, Poczty Polskiej, DHL, adwokatów Jerzego C., Andrzeja L. i Wojciecha W., Morele.net, Polkuriera czy Wizz Air.

Stworzenie narzędzia było możliwe dzięki działaniom Biura do Walki z Cyberprzestępczością Komendy Głównej Policji oraz Prokuratury Okręgowej w Warszawie, która doprowadziła do skutecznego zatrzymania aktora posługującego się w swoich kampaniach spamowych ransomwarem Vortex. W toku trwających jeszcze czynności zabezpieczających udało ustalić się zestaw kluczy, które użyte były do zaszyfrowania plików ofiar. Pełny komunikat dotyczący przebiegu czynności względem zatrzymanego można przeczytać na stronach Prokuratury Okręgowej w Warszawie.

Zaznaczamy, że na tę chwilę narzędzie nie posiada pełnego zestawu kluczy użytych przy każdej z kampanii. Dlatego też, jeżeli nie jesteśmy w stanie pomóc na tę chwilę, prosimy o sprawdzanie swoich plików co pewien czas, ponieważ wraz z postępem w śledztwie będziemy uzupełniać narzędzie o nowe klucze.

Link do narzędzia: https://nomoreransom.cert.pl/vortex

CERT Polska jest aktywnym członkiem projektu nomoreransom.org, w ramach którego dostarcza narzędzi ofiarom ransomware’u z całego świata.