CERT Polska dysponuje narzędziem umożliwiającym odzyskiwanie klucza szyfrującego ransomware'u Vortex (znanego także jako Flotera albo Polski ransomware).

Vortex dystrybuowany był za pośrednictwem licznych, analizowanych przez CERT Polska kampanii spamowych, wykorzystujących między innymi wizerunek: P4 sp.z.o.o, sklepu ZARA, PayU – płatności kartą dla Cinema City, Netii, eBOK-u Multimedii, Paczki w Ruchu, Nationale Nederlanden, Generalnego Inspektora Ochrony Danych Osobowych, PKO Leasing, spółki Zastępczy Pojazd, mBanku, Poczty Polskiej, DHL, adwokatów Jerzego C., Andrzeja L. i Wojciecha W., Morele.net, Polkuriera czy Wizz Air.

Stworzenie narzędzia było możliwe dzięki działaniom Biura do Walki z Cyberprzestępczością Komendy Głównej Policji oraz Prokuratury Okręgowej w Warszawie, która doprowadziła do skutecznego zatrzymania aktora posługującego się w swoich kampaniach spamowych ransomwarem Vortex. W toku trwających jeszcze czynności zabezpieczających udało ustalić się zestaw kluczy, które użyte były do zaszyfrowania plików ofiar. Pełny komunikat dotyczący przebiegu czynności względem zatrzymanego można przeczytać na stronach Prokuratury Okręgowej w Warszawie.

Zaznaczamy, że na tę chwilę narzędzie nie posiada pełnego zestawu kluczy użytych przy każdej z kampanii. Dlatego też, jeżeli nie jesteśmy w stanie pomóc na tę chwilę, prosimy o sprawdzanie swoich plików co pewien czas, ponieważ wraz z postępem w śledztwie będziemy uzupełniać narzędzie o nowe klucze.

Narzędzie nie jest już dostępne publicznie, ale wciąż istnieje możliwośc otrzymania pomocy przez napisanie wiadomości na adres kontaktowy CERT Polska lub wykorzystanie formularza incydent.cert.pl.

CERT Polska jest aktywnym członkiem projektu nomoreransom.org, w ramach którego dostarcza narzędzi ofiarom ransomware’u z całego świata.