Phenquestions
CryptoDefense ransomware dominerer diskusjoner i disse dager. Ofre som blir byttedyr til denne varianten av Ransomware, har vendt seg til forskjellige fora i stort antall og søkt støtte fra eksperter. Betraktes som en type ransomware, aper programmet oppførselen til CryptoLocker, men kan ikke betraktes som fullstendig avledet av den, for koden den kjører er helt annerledes. Videre er skaden den forårsaker potensielt stor.
CryptoDefense Ransomware
Opprinnelsen til Internet miscreant kan spores fra den rasende konkurransen mellom cyber-gjenger i slutten av februar 2014. Det førte til utviklingen av en potensielt skadelig variant av dette ransomware-programmet, i stand til å kryptere en persons filer og tvinge dem til å betale for å gjenopprette filene.
CryptoDefense retter seg som kjent mot tekst-, bilde-, video-, PDF- og MS Office-filer. Når en sluttbruker åpner det infiserte vedlegget, begynner programmet å kryptere målfilene med en sterk RSA-2048-nøkkel som er vanskelig å angre. Når filene er kryptert, legger skadelig programvare frem en løsepenger-filer i hver mappe som inneholder krypterte filer.
Når filene åpnes, finner offeret en CAPTCHA-side. Hvis filene er for viktige for ham, og han vil ha dem tilbake, godtar han kompromisset. Fortsett videre må han fylle ut CAPTCHA riktig, og dataene blir sendt til betalingssiden. Prisen på løsepenger er forhåndsbestemt, doblet hvis offeret ikke overholder utviklerens instruksjoner innen en definert tidsperiode på fire dager.
Den private nøkkelen som trengs for å dekryptere innholdet, er tilgjengelig hos utvikleren av skadelig programvare og blir bare sendt tilbake til angriperens server når ønsket beløp er levert i sin helhet som løsepenger. Angriperne ser ut til å ha opprettet et "skjult" nettsted for å motta betalinger. Etter at den eksterne serveren har bekreftet mottakeren av den private dekrypteringsnøkkelen, blir et skjermbilde av det kompromitterte skrivebordet lastet opp til det eksterne stedet. CryptoDefense lar deg betale løsepenger ved å sende Bitcoins til en adresse som vises på malwareens dekrypteringsservice-side.
Selv om hele ordningen med ting ser ut til å være godt utarbeidet, hadde CryptoDefense ransomware da det først dukket opp noen få feil. Den la nøkkelen til høyre på selve offerets datamaskin! : D
Dette krever selvfølgelig tekniske ferdigheter som en gjennomsnittsbruker kanskje ikke har for å finne ut nøkkelen. Feilen ble først lagt merke til av Fabian Wosar fra Emsisoft og førte til opprettelsen av en Dekrypter verktøy som potensielt kan hente nøkkelen og dekryptere filene dine.
En av nøkkelforskjellene mellom CryptoDefense og CryptoLocker er det faktum at CryptoLocker genererer sitt RSA-nøkkelpar på kommando- og kontrollserveren. CryptoDefense bruker derimot Windows CryptoAPI til å generere nøkkelparet på brukerens system. Dette ville ikke utgjøre for mye av en forskjell hvis det ikke var for noen lite kjente og dårlig dokumenterte særegenheter i Windows CryptoAPI. En av disse særegenheter er at hvis du ikke er forsiktig, vil den lage lokale kopier av RSA-nøklene programmet ditt fungerer med. Den som opprettet CryptoDefense, var tydeligvis ikke klar over denne oppførselen, og uten å vite om dem, ble nøkkelen til å låse opp en infisert brukeres filer faktisk oppbevart på brukerens system, sa Fabian, i et blogginnlegg med tittelen Historien om usikre ransomware-nøkler og selvbetjente bloggere.
Metoden var å være vitne til suksess og hjelpe mennesker, til Symantec bestemte meg for å gjøre en fullstendig eksponering av feilen og søle bønnene via blogginnlegget. Handlingen fra Symantec fikk malwareutvikleren til å oppdatere CryptoDefense, slik at den ikke lenger etterlater nøkkelen.
Symantec-forskere skrev:
På grunn av angriperne har den dårlige implementeringen av den kryptografiske funksjonaliteten, bokstavelig talt, gitt gislene en nøkkel for å unnslippe ”.
På dette svarte hackerne:
Spasiba Symantec ("Takk" på russisk). Den feilen er løst, sier KnowBe4.
For øyeblikket er den eneste måten å fikse dette på å sørge for at du har en nylig sikkerhetskopi av filene som faktisk kan gjenopprettes. Tørk og bygg maskinen på nytt fra bunnen av, og gjenopprett filene.
Dette innlegget på BleepingComputers gir en utmerket lesing hvis du vil lære mer om denne Ransomware og bekjempe situasjonen på forhånd. Dessverre fungerer metodene oppført i innholdsfortegnelsen bare for 50% av infeksjonstilfellene. Likevel gir det en god sjanse for å få filene dine tilbake.
