CryptoDefense ransomware доминира дискусии в наши дни. Жертвите, които стават жертва на този вариант на Ransomware, се обръщат към различни форуми в голям брой, търсейки подкрепа от експерти. Считан за вид ransomware, програмата прегръща поведението на CryptoLocker, но не може да се счита за пълно дериват на него, защото кодът, който се изпълнява, е напълно различен. Нещо повече, причинените от него щети са потенциално големи.
CryptoDefense Ransomware
Произходът на подвеждащия интернет може да бъде проследен от яростната конкуренция между кибер-бандите в края на февруари 2014 г. Тя доведе до разработването на потенциално вредни варианти на тази програма за ransomware, които са в състояние да кодират файловете на дадено лице и да ги принудят да извършат плащане за възстановяване на файловете.
CryptoDefense, както е известно, насочва текстови, картинни, видео, PDF и MS Office файлове. Когато един краен потребител отваря заразения прикачен файл, програмата започва да шифрова своите целеви файлове със силен ключ RSA-2048, който е трудно да се отмени. След като файловете бъдат шифровани, злонамереният софтуер поставя във всеки пакет, съдържащ криптирани файлове, файлове за изкупуване на откуп.
При отварянето на файловете, жертвата намира страница с CAPTCHA. Ако файловете са твърде важни за него и той ги иска обратно, той приема компромиса. По-нататък трябва да попълни CAPTCHA правилно и данните да бъдат изпратени на платежната страница. Цената на откупа е предварително определена, удвоена, ако жертвата не изпълни инструкциите на предприемача в рамките на определен период от четири дни.
Частният ключ, необходим за декриптиране на съдържанието, е налице при разработчика на зловреден софтуер и се изпраща обратно до сървъра на нападателя, само когато желаната сума е доставена изцяло като откуп. Нападателите изглежда са създали "скрит" уебсайт, за да получават плащания. След като отдалеченият сървър потвърди получателя на частния ключ за декриптиране, екранна снимка на компрометирания работен плот се качва на отдалеченото място. CryptoDefense ви позволява да платите откупа, като изпратите Bitcoins на адрес, показан на страницата "Декриптиране на зловреден софтуер".
Въпреки че цялата схема на нещата изглежда добре подготвена, CryptoDefense ransomware, когато за пръв път се появи, има няколко грешки. Той остави ключа надясно на самия компютър на жертвата! ?
Това, разбира се, изисква технически умения, които средният потребител може да не притежава, за да разбере ключовете. Този недостатък бе забелязан за първи път от Fabian Wosar от Emsisoft и доведоха до създаването на Decrypter инструмент, който евентуално може да извлече ключа и да дешифрира вашите файлове.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Методът е бил свидетел на успех и помага на хората, докато Symantec реши да направи пълен изложение на недостатъка и да разлее боб чрез своя блог пост. Актът от Symantec подкара разработчика на злонамерен софтуер да актуализира CryptoDefense, така че вече не оставя ключа зад.
Изследователите на Symantec написаха:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
За това хакерите отговориха:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Понастоящем единственият начин да го направите е да се уверите, че имате скорошно архивиране на файловете, които действително могат да бъдат възстановени. Изтрийте и възстановете устройството от самото начало и възстановете файловете.
Тази публикация на BleepingComputers прави отлично четене, ако искате да научите повече за този Ransomware и да се справите положението предварително. За съжаление методите, изброени в неговата "Съдържание", работят само за 50% от случаите на инфекция. Все пак, това дава добра възможност за връщане на вашите файлове.
