CryptoDefense Az iranómia jelenleg dominál a vitákban. A Ransomware ezen változatának áldozatai nagyszámú fórumon fordulnak, támogatva a szakértőket. Úgy tekintik, mint egyfajta ransomware, a program majmok viselkedését CryptoLocker, de nem tekinthető teljes származékának, mivel a kód teljesen más. Ráadásul az okozott kár potenciálisan hatalmas.
CryptoDefense Ransomware
Az Internet rosszindulatának eredete a 2014. februárja közti kiberbanda közötti haragverseny nyomon követhető. Ez a felszabadító program potenciálisan ártalmas változatának kialakulásához vezetett, amely képes személyi fájlok kódolására és arra kényszerítve őket, hogy fizetést hajtsanak végre a fájlok visszaállításához.
A CryptoDefense, mint ismeretes, szöveges, kép, video, PDF és MS Office fájlokat céloz meg. Amikor egy végfelhasználó megnyitja a fertőzött mellékletet, a program megpróbálja titkosítani a célfájljait egy erős RSA-2048 kulcs segítségével, amelyet nehéz visszavonni. A fájlok titkosítása után a rosszindulatú szoftver minden titkosított fájlt tartalmazó mappában felszabadító keresési fájlt hoz létre.
A fájlok megnyitásakor az áldozat CAPTCHA oldalt talál. Ha a fájlok túl fontosak neki, és ő akarja őket vissza, akkor elfogadja a kompromisszumot. Továbbá a CAPTCHA-t ki kell töltenie, és az adatokat a fizetési oldalon kell elküldeni. A váltságdíj ára előre meg van határozva, megduplázódik, ha az áldozat nem felel meg a fejlesztői utasításoknak egy meghatározott négynapos időszakon belül.
A tartalom titkosításához szükséges magánkulcs a rosszindulatú szoftver fejlesztőjével érhető el, és csak akkor küld vissza a támadó kiszolgálójába, ha a kívánt összeget teljes egészében váltságdíjként szállítják. A támadók úgy tűnik, hogy létrehoztak egy "rejtett" weboldalt a befizetések fogadásához. Miután a távoli kiszolgáló megerősítette a privát dekódolási kulcs címzettjét, a kompromittált asztal képernyőképét feltölti a távoli helyre. A CryptoDefense lehetővé teszi, hogy a díjcsomagot a Bitcoins-nak a rosszindulatú szoftverek Dekrypt szolgáltatás oldalán megjelenő címre küldve fizesse ki.
Bár a dolgok teljes rendszere jól felépült, a CryptoDefense ransomware, amikor először megjelent, volt néhány hibája. A kulcsot közvetlenül az áldozat számítógépén hagyta! ?
Ez természetesen technikai készségeket igényel, amelyeket egy átlagos felhasználónak talán nem rendelkezhet, és kitalálhatja a kulcsot. A hibát először Fabian Wosar vette észre Emsisoft és egy a Decrypter eszköz, amely potenciálisan lekérheti a kulcsot és dekódolja a fájlokat.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
A módszer sikeres volt és segített az embereknek egészen addig Symantec úgy döntött, hogy teljes mértékben feltárja a hibát, és a babot a blogbejegyzésen keresztül ömlik. A Symantec aktusa arra késztette a malware fejlesztőt, hogy frissítse a CryptoDefense-et, így már nem hagyhatja figyelmen kívül a kulcsot.
A Symantec kutatói így írtak:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
Ehhez a hackerek válaszolt:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Jelenleg az egyetlen módja annak, hogy meggyógyítsa ezt a biztonsági másolatot a ténylegesen visszaállítható fájlokról. Törölje és helyreállítsa a gépet a semmiből, és helyreállítsa a fájlokat.
Ez a bejegyzés a BleepingComputers-ban kiváló olvasást tesz lehetővé, ha többet szeretne megtudni a Ransomware-ről és leküzdi a helyzetet. Sajnos a "Tartalomjegyzékben" felsorolt módszerek csak a fertőzéses esetek 50% -án működnek. Mégis jó eséllyel rendelkezik a fájlok visszaszerzésére.
