CryptoDefense ransomware hallitsee keskusteluja näinä päivinä. Ransomwaren tämän vaihtoehdon uhreiksi joutuneet uhrit ovat kääntäneet useille eri foorumeille, ja he etsivät tukea asiantuntijoilta. Ohjelmistona pidetään palkintopanostyypin tyyppiä, ja siinä määritetään käyttäytyminen cryptolocker, mutta sitä ei voida pitää täydellisenä johdannaisena, sillä sen käyttämä koodi on täysin erilainen. Lisäksi sen aiheuttamat vahingot ovat mahdollisesti suuria.
CryptoDefense Ransomware
Internetin väärinkäyttäjän alkuperää voidaan jäljittää sunnuntai-helmikuun 2014 välisenä raivokkaana kilpailuna. Se johti tämän ransomware-ohjelman mahdollisesti haitallisen version kehittämiseen, joka pystyi muokkaamaan henkilön tiedostoja ja pakottamalla heidät tekemään maksun tiedostojen palauttamiseksi.
CryptoDefense, kuten tiedetään, kohdistuu teksti-, kuva-, video-, PDF- ja MS Office -tiedostoihin. Kun loppukäyttäjä avaa tartunnan saaneen liitetiedoston, ohjelma alkaa salata sen kohdustiedostot vahvalla RSA-2048-avaimella, jota on vaikea kumota. Kun tiedostot on salattu, haittaohjelmat asettavat lunastuspyynnön tiedostot jokaiseen kansioon, joka sisältää salattuja tiedostoja.
Avaamisen jälkeen uhri löytää CAPTCHA-sivun. Jos tiedostot ovat liian tärkeitä hänelle ja hän haluaa heidät takaisin, hän hyväksyy kompromissin. Edelleen, hän täyttää CAPTCHA oikein ja tiedot lähetetään maksusivulle. Lunnauksen hinta on ennalta määrätty, kaksinkertaistunut, jos uhri ei noudata kehittäjän ohjeita tiettynä neljän päivän ajan.
Haittaohjelmien kehittäjälle on saatavilla yksityinen avain, joka tarvitaan salauksen purkamiseen, ja se palautetaan hyökkääjän palvelimelle vain, kun haluttu summa toimitetaan kokonaisuudessaan lunnaina. Hyökkääjät näyttävät luoneet "piilotetut" verkkosivuston maksujen vastaanottamiseksi. Kun etäpalvelin vahvistaa yksityisen salauksen purkuavaimen vastaanottajan, haavoittuneesta työpöydästä lähetetään kuvakaappaus etäasemaan. CryptoDefensen avulla voit maksaa lunnaita lähettämällä Bitcoinsin osoitteen haittaohjelmien salauspalvelusivulla.
Vaikka koko asioiden kaava näytti olevan hyvin työstetty, CryptoDefensen irrotusohjelma, kun se ilmestyi ensimmäisen kerran, oli muutamia vikoja. Se jätti avaimen suoraan uhrin tietokoneeseen! ?
Tämä edellyttää tietysti teknisiä taitoja, joita keskivertokuluttajalla ei ehkä ole, selvittää avain. Fabian Wosar näki virheen ensin Emsisoft ja johti a decrypter työkalu, joka voi mahdollisesti hakea avaimen ja purkaa tiedostot.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Menetelmä todisti menestystä ja auttoi ihmisiä siihen asti Symantec päätti tehdä täydellisen esittelyn virheestä ja kaataa pavut blogikirjoituksensa kautta. Symantecin teko kehotti haittaohjelmien kehittäjää päivittämään CryptoDefensen, jotta se ei enää jäisi avaimelle.
Symantecin tutkijat kirjoittivat:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
Tähän hakkerit vastasivat:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Tällä hetkellä ainoa tapa korjata tämä on varmistaa, että sinulla on äskettäinen varmuuskopio tiedostoista, jotka voidaan todella palauttaa. Pyyhi ja uusi kone uudelleen tyhjästä ja palauta tiedostot.
Tämä postitus Bleeping Computersissa tekee erinomaisesta lukemisesta, jos haluat lisätietoja tästä Ransomware-ohjelmasta ja torjua tilannetta eteenpäin. Valitettavasti sen "sisällysluettelossa" luetellut menetelmät toimivat vain 50% tartuntatapauksista. Silti se tarjoaa hyvän mahdollisuuden saada tiedostot takaisin.
