Phenquestions
CryptoDefense ransomware доминира в дискусиите в наши дни. Жертвите, които стават жертва на този вариант на Ransomware, се обръщат към различни форуми в голям брой, търсейки подкрепа от експерти. Разглеждана като вид рансъмуер, програмата се справя с поведението на CryptoLocker, но не може да се разглежда като цялостно производно от него, тъй като кодът, който се изпълнява, е съвсем различен. Освен това щетите, които причинява, са потенциално огромни.
CryptoDefense Ransomware
Произходът на интернет злодея може да се проследи от яростното състезание, проведено между кибер-банди в края на февруари 2014 г. Това доведе до разработването на потенциално вреден вариант на тази програма за рансъмуер, способен да кодира файловете на човек и да ги принуди да извършат плащане за възстановяване на файловете.
CryptoDefense, както е известно, е насочен към текстови, картинни, видео, PDF и MS Office файлове. Когато краен потребител отвори заразения прикачен файл, програмата започва да криптира своите целеви файлове със силен RSA-2048 ключ, който е трудно да се отмени. След като файловете са шифровани, зловредният софтуер извежда файлове с искане за откуп във всяка папка, съдържаща криптирани файлове.
След отваряне на файловете, жертвата намира страница CAPTCHA. Ако файловете са твърде важни за него и той ги иска обратно, той приема компромиса. Продължавайки по-нататък, той трябва да попълни правилно CAPTCHA и данните се изпращат на страницата за плащане. Цената на откупа е предварително определена, удвоена, ако жертвата не спази инструкциите на разработчика в рамките на определен период от четири дни.
Частният ключ, необходим за дешифриране на съдържанието, е достъпен при разработчика на зловредния софтуер и се изпраща обратно на сървъра на нападателя само когато желаната сума е доставена изцяло като откуп. Изглежда, че нападателите са създали „скрит“ уебсайт за получаване на плащания. След като отдалеченият сървър потвърди получателя на частния ключ за дешифриране, на отдалеченото място се качва екранна снимка на компрометирания работен плот. CryptoDefense ви позволява да платите откупа, като изпратите биткойни на адрес, показан на страницата за декриптиране на зловредния софтуер.
Въпреки че цялата схема на нещата изглежда добре разработена, рансъмуерът CryptoDefense, когато се появи за първи път, имаше няколко грешки. Той остави ключа вдясно на самия компютър на жертвата! :Д
Това, разбира се, изисква технически умения, които средният потребител може да не притежава, за да разбере ключа. Недостатъкът беше забелязан за първи път от Фабиан Восар от Emsisoft и доведе до създаването на a Декриптор инструмент, който може потенциално да извлече ключа и да дешифрира вашите файлове.
Една от ключовите разлики между CryptoDefense и CryptoLocker е фактът, че CryptoLocker генерира своята двойка RSA ключове на сървъра за управление и управление. CryptoDefense, от друга страна, използва Windows CryptoAPI за генериране на двойката ключове в системата на потребителя. Това не би имало голяма разлика, ако не бяха някои малко известни и лошо документирани странности на Windows CryptoAPI. Една от тези странности е, че ако не внимавате, той ще създаде локални копия на RSA ключовете, с които работи вашата програма. Който е създал CryptoDefense, очевидно не е бил наясно с това поведение и затова, без да им е известен, ключът за отключване на файловете на заразения потребител всъщност се съхранява в системата на потребителя, каза Фабиан в публикация в блог, озаглавена Историята на несигурните ключове за рансъмуер и самообслужващите се блогъри.
Методът беше свидетел на успех и помагаше на хората, докато Symantec реши да направи пълна експозиция на недостатъка и да разлее зърната чрез публикацията си в блога. Актът от Symantec подтикна разработчика на зловреден софтуер да актуализира CryptoDefense, така че вече да не оставя ключа зад себе си.
Изследователите от Symantec пишат:
Поради лошото изпълнение на криптографската функционалност на нападателите, те буквално са оставили заложниците си ключ за бягство ”.
На това хакерите отговориха:
Spasiba Symantec („Благодаря“ на руски). Тази грешка е отстранена, казва KnowBe4.
Понастоящем единственият начин да поправите това е да се уверите, че имате скорошно архивиране на файловете, които всъщност могат да бъдат възстановени. Избършете и възстановете машината от нулата и възстановете файловете.
Тази публикация в BleepingComputers прави отлично четиво, ако искате да научите повече за този Ransomware и борбата със ситуацията предварително. За съжаление методите, изброени в неговото „Съдържание“, работят само за 50% от случаите на инфекция. И все пак предоставя добър шанс да си върнете файловете.
