CryptoDefense ransomware dominē diskusijas šajās dienās. Cilvēki, kas ir šajā Ransomware variants, ir kļuvuši par daudziem forumiem, meklējot ekspertu atbalstu. Uzskata par ransomware veidu, programma apē par uzvedību CryptoLocker, bet to nevar uzskatīt par pilnīgu tā atvasinājumu, jo tā kods darbojas pavisam citādi. Turklāt kaitējums, ko tas izraisa, ir potenciāli plašs.
CryptoDefense Ransomware
Izklaidējošās interneta izcelsmi var izsekot nežēlīgā konkurence starp kiberbolām 2014. gada februāra februārī. Tas noveda pie šī ransomware programmas potenciāli kaitīga varianta izstrādes, kas spēj kodēt personas failus un piespiest viņus veikt maksājumu lai atgūtu failus.
CryptoDefense, kā zināms, attiecas uz teksta, attēla, video, PDF un MS Office failiem. Kad gala lietotājs atver inficēto pielikumu, programma sāk šifrēt savus mērķa failus ar spēcīgu RSA-2048 atslēgu, kuru ir grūti atsaukt. Kad faili tiek šifrēti, ļaunprogramma iznāk visus failus, kas satur šifrētus failus, izlaides pieprasījumu.
Atverot failus, cietušais atrod CAPTCHA lapu. Ja faili viņam ir pārāk svarīgi, un viņš vēlas tos atgriezties, viņš piekrīt kompromisam. Turpinot rīkoties tālāk, viņš pareizi aizpilda CAPTCHA, un dati tiek nosūtīti uz maksājumu lapu. Izpirkuma cena ir iepriekš noteikta, divkāršota, ja cietušais četru dienu laikā noteiktā laika periodā neatbilst izstrādātāja norādījumiem.
Privātā atslēga, kas nepieciešama satura atšifrēšanai, ir pieejama ar ļaundabīgo programmu izstrādātāju un tiek nosūtīta atpakaļ uzbrucēja serverim tikai tad, ja vēlamā summa ir pilnībā piegādāta kā izpirkšana. Šķiet, ka uzbrucēji ir izveidojuši "slēptu" vietni, lai saņemtu maksājumus. Pēc tam, kad attālais serveris apstiprina privātās atšifrēšanas atslēgas adresātu, attālā vietā tiek augšupielādēts kompromitētā darbvirsmas ekrānuzņēmums. CryptoDefense ļauj jums samaksāt izpirkuma maksu, nosūtot Bitcoins uz adresi, kas redzama ļaunprogrammatūras atšifrēšanas pakalpojuma lapā.
Lai gan viss shēmu saturs, šķiet, ir labi izstrādāts, CryptoDefense ransomware, kad tas pirmo reizi parādījās, bija dažas kļūdas. Tas atstāja atslēgu pats cietušā datorā! ?
Tas, protams, prasa tehniskās iemaņas, kuras var nebūt vidusmēra lietotājam, lai noskaidrotu atslēgu. Kļūda pirmo reizi pamanīja Fabian Wozar no Emsisoft un radīja a Decrypter kas varētu potenciāli izgūt atslēgu un atšifrēt savus failus.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Šī metode liecina par panākumiem un palīdz cilvēkiem līdz Symantec nolēma veikt pilnu ekspēti par trūkumu un noplūde pupiņām, izmantojot savu emuāra ziņu. Symantec akts lika ļaundabīgo programmu izstrādātājam atjaunināt CryptoDefense, lai tas vairs neatstātu atslēgu.
Symantec pētnieki rakstīja:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
Par to hakeri atbildēja:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Pašlaik vienīgais veids, kā to novērst, ir pārliecināties, vai jums ir nesen veikta failu dublējumkopija, kuru faktiski var atjaunot. Noslaukiet un atjaunojiet iekārtu no jauna un atjaunojiet failus.
Šis raksts par BleepingComputers padara par lielisku lasīt, ja vēlaties uzzināt vairāk par šo Ransomware un apkarot situāciju pirms tam. Diemžēl "Satura rādītājā" uzskaitītās metodes darbojas tikai 50% no infekcijas gadījumiem. Tomēr tas nodrošina labas iespējas atgūt savus failus.