Cybersecurity -experts hebben een decryptor vrijgegeven voor een ransomware -stam genaamd Funkksec, waardoor slachtoffers gratis toegang tot hun bestanden kunnen herstellen.
“Omdat de ransomware nu als dood wordt beschouwd, hebben we de Decryptor uitgebracht voor openbare download,” zei Digitale onderzoeker Ladislav Zezula.
Funkksec, die tegen het einde van 2024 ontstond, heeft 172 slachtoffers opgeëist, volgens gegevens van Ransomware.Live. De overgrote meerderheid van de gerichte entiteiten bevindt zich in de VS, India en Brazilië, waarbij technologie, overheid en onderwijs de top drie sectoren zijn die door de groep zijn aangevallen.
Een analyse van funksec bij controlepunt eerder in januari vond tekenen dat de encryptor is ontwikkeld met hulp van kunstmatige intelligentie (AI) -hulpmiddelen. De groep heeft sinds 18 maart 2025 geen nieuwe slachtoffers toegevoegd aan haar gegevensleksite, wat suggereert dat de groep niet langer actief is.
Er wordt ook geloofd dat de groep bestond uit onervaren hackers die op zoek waren naar zichtbaarheid en erkenning door gelekte datasets te uploaden die zijn geassocieerd met eerdere hacktivisme -campagnes.
Funksec werd gebouwd met Rust, een snelle en efficiënte programmeertaal die nu populair is bij nieuwere ransomware -groepen. Andere families, zoals Blackcat en Agenda, gebruiken ook roest om hun aanvallen te helpen snel te lopen en detectie te voorkomen. Funkksec vertrouwt op de Orion-RS-bibliotheek (versie 0.17.7) voor codering, met behulp van de CHACHA20- en POLY1305-algoritmen om bestanden tijdens de routine te vergrendelen.
“Deze op hash gebaseerde methode zorgt voor de integriteit van coderingsparameters: de coderingssleutel, n-once, bloklengtes en gecodeerde gegevens zelf,” merkte Zezula op. “Bestanden zijn gecodeerd per blokken van 128 bytes, waarbij 48 bytes extra metagegevens aan elk blok worden toegevoegd, wat betekent dat gecodeerde bestanden ongeveer 37% groter zijn dan de originelen.”
Gen Digital heeft niet bekendgemaakt hoe het in staat was om een decryptor te ontwikkelen en of het de exploitatie van een cryptografische zwakte met zich meebracht die het mogelijk maakt om het coderingsproces om te keren. De decodeer is toegankelijk via het RANSOM -project No More.
Slachtoffers die hun gegevens willen herstellen, moeten eerst bevestigen dat gecodeerde bestanden overeenkomen met de handtekening van Funksec, meestal geïdentificeerd door de .FunkSec -extensie of unieke metadata -vulling. De niet meer Ransom -portal biedt basisgebruiksstappen, maar beheerders wordt geadviseerd om getroffen bestanden te ondersteunen voordat ze decodering proberen in het geval van gedeeltelijk herstel of bestandscorruptie.
