Skip to main content

CryptoDefense Ransomware og hvordan Symantec hjalp det med å fikse feilen!

CryptoDefense Ransomware og hvordan Symantec hjalp det med å fikse feilen!

Geoffrey Carr

CryptoDefense ransomware dominerer diskusjoner i disse dager. Ofre som faller byttedyr til denne varianten av Ransomware har vendt seg til forskjellige fora i store mengder, og søker støtte fra eksperter. Betraktet som en type ransomware, aperperer programmet oppførselen til CryptoLocker, men kan ikke betraktes som fullstendig derivat av det, for koden den kjører, er helt annerledes. Dessuten er skaden det forårsaker potensielt stor.

CryptoDefense Ransomware

Opprinnelsen til Internett-miscreant kan spores fra den rasende konkurransen mellom cyber-gjengene sent i februar 2014. Det førte til utviklingen av en potensielt skadelig variant av dette ransomware-programmet, som er i stand til å kryptere en persons filer og tvinge dem til å betale for å gjenopprette filene.

CryptoDefense, som det er kjent, retter seg mot tekst-, bilde-, video-, PDF- og MS Office-filer. Når en sluttbruker åpner det infiserte vedlegget, begynner programmet å kryptere sine målfiler med en sterk RSA-2048-nøkkel som er vanskelig å angre. Når filene er kryptert, inneholder malware en løsningsbonusfil i hver mappe som inneholder krypterte filer.

Ved åpning av filene finner ofre en CAPTCHA-side. Hvis filene er for viktige for ham, og han vil ha dem tilbake, aksepterer han kompromisset. Når han fortsetter, må han fylle ut CAPTCHA riktig og dataene sendes til betalingssiden. Prisen på løsepenge er forhåndsbestemt, doblet hvis offeret ikke overholder utviklerens instruksjoner innen en bestemt tidsperiode på fire dager.

Den private nøkkelen som trengs for å dekryptere innholdet, er tilgjengelig hos utvikleren av skadelig programvare, og sendes kun tilbake til angriperens server når ønsket beløp leveres fullstendig som løsepenger. Angrepene synes å ha opprettet et "skjult" nettsted for å motta betalinger. Etter at den eksterne serveren bekrefter mottakeren av den private dekrypteringsnøkkelen, lastes et skjermbilde av det kompromitterte skrivebordet til den eksterne plasseringen. CryptoDefense tillater deg å betale løsesummen ved å sende Bitcoins til en adresse som vises på malwareens dekrypteringsservice-side.

Selv om hele ordningen av ting ser ut til å være godt utarbeidet, har CryptoDefense ransomware da den først ble vist, hatt noen feil. Det forlot nøkkelen rett på offerets datamaskin selv! ?

Dette krever selvsagt tekniske ferdigheter, som en gjennomsnittlig bruker kanskje ikke har, for å finne ut nøkkelen. Feilen ble først lagt merke til av Fabian Wosar of Emsisoft og førte til etableringen av a Decrypter verktøy som kan hente nøkkelen og dekryptere filene dine.

One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.

Metoden var vitne til suksess og å hjelpe folk, til Symantec besluttet gjør en fullstendig eksponering av feilen og spill bønnene via blogginnlegget. Handlingen fra Symantec ba malwareutvikleren om å oppdatere CryptoDefense, slik at den ikke lenger forlater nøkkelen bak.

Symantecs forskere skrev:

Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.

Til dette svarte hackerne:

Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.

Foreløpig er den eneste måten å fikse dette på, for å sikre at du har en ny sikkerhetskopi av filene som faktisk kan gjenopprettes. Tørk og gjenoppbygg maskinen fra bunnen av, og gjenopprett filene.

Dette innlegget på BleepingComputers gir en utmerket lesning hvis du vil lære mer om denne Ransomware og bekjempe situasjonen på forhånd. Dessverre fungerer metodene som er oppført i sin "Innholdsfortegnelse" bare for 50% av infeksjonssaker. Likevel gir det en god sjanse til å få filene dine tilbake.

Link
Plus
Send
Send
Pin