Hjemmeside » Sikkerhet » CryptoDefense Ransomware og hvordan Symantec hjalp det med å fikse feilen!

    CryptoDefense Ransomware og hvordan Symantec hjalp det med å fikse feilen!

    CryptoDefense ransomware dominerer diskusjoner i disse dager. Ofre som faller byttedyr til denne varianten av Ransomware har vendt seg til forskjellige fora i store mengder, og søker støtte fra eksperter. Betraktet som en type ransomware, aperperer programmet oppførselen til CryptoLocker, men kan ikke betraktes som fullstendig derivat av det, for koden den kjører, er helt annerledes. Dessuten er skaden det forårsaker potensielt stor.

    CryptoDefense Ransomware

    Opprinnelsen til Internett-miscreant kan spores fra den rasende konkurransen mellom cyber-gjengene sent i februar 2014. Det førte til utviklingen av en potensielt skadelig variant av dette ransomware-programmet, som er i stand til å kryptere en persons filer og tvinge dem til å betale for å gjenopprette filene.

    CryptoDefense, som det er kjent, retter seg mot tekst-, bilde-, video-, PDF- og MS Office-filer. Når en sluttbruker åpner det infiserte vedlegget, begynner programmet å kryptere målfilene med en sterk RSA-2048-nøkkel som er vanskelig å angre. Når filene er kryptert, legger malware ut et løslatespørsmålfiler i hver mappe som inneholder krypterte filer.

    Ved åpning av filene finner ofre en CAPTCHA-side. Hvis filene er for viktige for ham, og han vil ha dem tilbake, aksepterer han kompromisset. Når han fortsetter, må han fylle ut CAPTCHA riktig og dataene sendes til betalingssiden. Prisen på løsepenge er forutbestemt, doblet hvis offeret ikke overholder utviklerens instruksjoner innen en bestemt tidsperiode på fire dager.

    Den private nøkkelen som trengs for å dekryptere innholdet, er tilgjengelig hos utvikleren av skadelig programvare og sendes kun tilbake til angriperens server når ønsket beløp leveres fullstendig som løsepenger. Angrepene synes å ha opprettet et "skjult" nettsted for å motta betalinger. Etter at den eksterne serveren bekrefter mottakeren av den private dekrypteringsnøkkelen, lastes et skjermbilde av det kompromitterte skrivebordet til den eksterne plasseringen. CryptoDefense tillater deg å betale løsepenge ved å sende Bitcoins til en adresse som vises i malwareens dekrypteringsservice-side.

    Selv om hele ordningen av ting ser ut til å være godt utarbeidet, har CryptoDefense ransomware da den først ble vist, hatt noen feil. Det forlot nøkkelen rett på offerets datamaskin selv! 😀

    Dette krever selvsagt tekniske ferdigheter, som en gjennomsnittlig bruker kanskje ikke har, for å finne ut nøkkelen. Feilen ble først lagt merke til av Fabian Wosar of Emsisoft og førte til etableringen av a Decrypter verktøy som kan hente nøkkelen og dekryptere filene dine.

    En av de viktigste forskjellene mellom CryptoDefense og CryptoLocker er at CryptoLocker genererer sitt RSA-nøkkelpar på kommando- og kontrollserveren. CryptoDefense bruker derimot Windows CryptoAPI til å generere nøkkelparet på brukerens system. Nå ville dette ikke gjøre for mye av en forskjell hvis det ikke var for noen lite kjente og dårlige dokumenterte quirks av Windows CryptoAPI. En av disse kjennskapene er at hvis du ikke er forsiktig, vil den skape lokale kopier av RSA-tastene som programmet ditt jobber med. Den som opprettet CryptoDefense var tydeligvis ikke klar over denne oppførselen, og så, ukjent for dem, var nøkkelen til å låse opp en infisert brukers filer faktisk holdt på brukerens system, sa Fabian, i et blogginnlegg med tittelen Historien om usikre ransomware nøkler og selvbetjente bloggere.

    Metoden var vitne til suksess og å hjelpe folk, til Symantec besluttet gjør en fullstendig eksponering av feilen og spill bønnene via blogginnlegget. Handlingen fra Symantec ba malwareutvikleren om å oppdatere CryptoDefense, slik at den ikke lenger forlater nøkkelen bak.

    Symantecs forskere skrev:

    På grunn av angriperne har dårlig implementering av kryptografisk funksjonalitet de ganske bokstavelig talt forlot sine gidsler en nøkkel til å unnslippe ".

    Til dette svarte hackerne:

    Spasiba Symantec ("Takk" på russisk). Den feilen har blitt løst, sier KnowBe4.

    Foreløpig er den eneste måten å fikse dette på, for å sikre at du har en nylig sikkerhetskopi av filene som faktisk kan gjenopprettes. Tørk og gjenoppbygg maskinen fra bunnen av, og gjenopprett filene.

    Dette innlegget på BleepingComputers gir en utmerket lesning hvis du vil lære mer om denne Ransomware og bekjempe situasjonen på forhånd. Dessverre fungerer metodene som er oppført i sin "Innholdsfortegnelse" kun for 50% av infeksjonssakerne. Likevel gir det en god sjanse til å få filene dine tilbake.

    CryptoLocker Tripwire Gratis Cryptolocker Prevention Tool
    CryptoMonitor Gratis ransomware beskyttelse og forebygging verktøy
    Crunchyroll for Apple TV (gjennomgang)
    Neste artikkel
    CryptoLocker dekrypteringsverktøy utgitt
    Forrige artikkel
    Kryss av hodeskaller og puslespill i Mortal Kombat X Mobile ut nå på iOS og kommer snart til Android