CryptoDefense ransomware доминирует в обсуждениях в эти дни. Жертвы, ставшие жертвами этого варианта Ransomware, в большом количестве обращались к различным форумам, ища поддержки со стороны экспертов. Рассматриваемая как тип выкупа, программа обещает поведение CryptoLocker, но не может считаться его полной производной, поскольку код, который он запускает, совершенно другой. Более того, нанесенный им ущерб потенциально огромен.
CryptoDefense Ransomware
Происхождение интернет-злоумышленника можно проследить от яростного соревнования между кибер-бандами в конце февраля 2014 года. Это привело к разработке потенциально опасного варианта этой программы вымогательства, способной скремблировать файлы человека и заставить их совершать платеж для восстановления файлов.
CryptoDefense, как известно, предназначает файлы текстовых, графических, видео, PDF и MS Office. Когда конечный пользователь открывает зараженное вложение, программа начинает шифровать свои целевые файлы с помощью сильного ключа RSA-2048, который трудно отменить. После того, как файлы зашифрованы, вредоносное ПО отправляет файлы запроса выкупа в каждую папку, содержащую зашифрованные файлы.
После открытия файлов жертва находит страницу CAPTCHA. Если файлы слишком важны для него, и он хочет их вернуть, он соглашается на компромисс. Исходя из этого, он должен правильно заполнить CAPTCHA, и данные отправляются на страницу оплаты. Цена выкупа предопределена, удваивается, если жертва не выполняет инструкции разработчика в течение определенного периода времени в четыре дня.
Частный ключ, необходимый для расшифровки содержимого, доступен разработчику вредоносного ПО и отправляется обратно на сервер злоумышленника только тогда, когда желаемая сумма будет доставлена полностью в качестве выкупа. Нападавшие, похоже, создали «скрытый» веб-сайт для получения платежей. После того как удаленный сервер подтверждает получателя секретного ключа дешифрования, снимок экрана скомпрометированного рабочего стола загружается в удаленное местоположение. CryptoDefense позволяет заплатить выкуп, отправив Bitcoins на адрес, указанный на странице службы расшифровки вредоносных программ.
Хотя вся схема вещей, кажется, хорошо разработана, у CryptoDefense ransomware, когда она впервые появилась, было несколько ошибок. Он оставил ключ прямо на компьютере жертвы! ?
Это, конечно, требует технических навыков, которые средний пользователь может не иметь, чтобы выяснить ключ. Этот недостаток был впервые замечен Фабианом Восаром Emsisoft и привело к созданию Decrypter инструмент, который может потенциально получить ключ и расшифровать ваши файлы.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Этот метод стал свидетелем успеха и помощи людям, пока Symantec решил сделать полное разоблачение недостатка и проливать бобы через его сообщение в блоге. Действие Symantec побудило разработчика вредоносных программ обновить CryptoDefense, чтобы он больше не оставил ключ.
Исследователи Symantec писали:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
На это хакеры ответили:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
В настоящее время единственный способ исправить это - убедиться, что у вас есть резервная копия файлов, которые можно восстановить. Протрите и перестройте машину с нуля и восстановите файлы.
Этот пост на BleepingComputers отлично читает, если вы хотите узнать больше об этом Ransomware и о борьбе с ситуацией. К сожалению, методы, перечисленные в «Оглавлении», работают только на 50% случаев заражения. Тем не менее, это дает хорошие шансы вернуть ваши файлы.
