Phenquestions
CryptoDefense v dnešnej dobe diskusiám dominuje ransomvér. Obete, ktoré prepadli tejto variante Ransomware, sa vo veľkom počte obracajú na rôzne fóra a hľadajú podporu od odborníkov. Program sa považuje za typ ransomvéru a chová sa ako CryptoLocker, ale nemožno ho považovať za jeho úplnú deriváciu, pretože kód, ktorý beží, je úplne iný. Škody, ktoré spôsobuje, sú navyše potenciálne obrovské.
CryptoDefense Ransomware
Pôvod páchateľa internetu možno vysledovať na základe zúrivej konkurencie, ktorá sa konala medzi internetovými gangmi koncom februára 2014. To viedlo k vývoju potenciálne škodlivého variantu tohto ransomwarového programu, ktorý je schopný kódovať súbory osoby a nútiť ich, aby platili za obnovenie súborov.
CryptoDefense, ako je známe, sa zameriava na textové, obrazové, video, súbory PDF a MS Office. Keď koncový užívateľ otvorí infikovanú prílohu, program začne šifrovať svoje cieľové súbory silným kľúčom RSA-2048, ktorý je ťažké vrátiť späť. Akonáhle sú súbory zašifrované, malware vloží do priečinka obsahujúceho šifrované súbory súbory s požiadavkou na výkupné.
Po otvorení súborov obeť nájde stránku CAPTCHA. Ak sú súbory pre neho príliš dôležité a chce ich späť, kompromis prijíma. Ďalej musí správne vyplniť CAPTCHA a údaje sa odošlú na platobnú stránku. Cena výkupného je vopred určená, dvojnásobná, ak postihnutý neplní pokyny vývojára v stanovenej lehote štyroch dní.
Súkromný kľúč potrebný na dešifrovanie obsahu je k dispozícii u vývojára škodlivého softvéru a je odoslaný späť na server útočníka iba vtedy, keď je požadované množstvo v plnej výške doručené ako výkupné. Zdá sa, že útočníci vytvorili „skrytý“ web na prijímanie platieb. Keď vzdialený server potvrdí príjemcu súkromného dešifrovacieho kľúča, do vzdialeného umiestnenia sa nahrá screenshot napadnutej pracovnej plochy. CryptoDefense vám umožňuje zaplatiť výkupné zaslaním bitcoinov na adresu uvedenú na stránke dešifrovacej služby malvéru.
Aj keď sa zdá, že celá schéma vecí je dobre prepracovaná, ransomvér CryptoDefense, keď sa objavil prvýkrát, mal niekoľko chýb. Nechal kľúč vpravo na samotnom počítači obete! : D
To si samozrejme vyžaduje technické zručnosti, ktoré priemerný užívateľ nemusí mať, aby zistil kľúč. Túto chybu si prvýkrát všimol Fabian Wosar z Emsisoft a viedli k vytvoreniu a Dešifrovanie nástroj, ktorý by mohol potenciálne získať kľúč a dešifrovať vaše súbory.
Jedným z kľúčových rozdielov medzi CryptoDefense a CryptoLocker je skutočnosť, že CryptoLocker generuje svoj pár kľúčov RSA na príkazovom a riadiacom serveri. CryptoDefense na druhej strane používa Windows CryptoAPI na generovanie dvojice kľúčov v systéme používateľa. To by teraz príliš nezmenilo, keby to nebolo kvôli niektorým málo známym a zle zdokumentovaným vtipom o Windows CryptoAPI. Jednou z tých zvláštností je, že ak si nedáte pozor, vytvorí lokálne kópie kľúčov RSA, s ktorými váš program pracuje. Ktokoľvek vytvoril CryptoDefense, zjavne o tomto správaní nevedel, a tak, bez toho, aby o tom vedel, kľúč na odomknutie súborov infikovaného používateľa zostal v skutočnosti v systéme používateľa, uviedol Fabian v blogovom príspevku s názvom Príbeh nezabezpečených kľúčov ransomvéru a samoobslužných blogerov.
Metóda bola svedkom úspechu a pomoci ľuďom až do Symantec rozhodla o úplnom odhalení chyby a vysypaní fazule prostredníctvom svojho blogového príspevku. Akt spoločnosti Symantec podnietil vývojára škodlivého softvéru k aktualizácii CryptoDefense tak, aby už po sebe nenechával kľúč.
Vedci zo spoločnosti Symantec napísali:
Kvôli zlej implementácii kryptografických funkcií, ktoré majú útočníci, doslova nechali svojich rukojemníkov kľúč k úniku “.
Na to hackeri odpovedali:
Spasiba Symantec (v ruštine „Ďakujeme“). Táto chyba bola opravená, hovorí KnowBe4.
Jediným spôsobom, ako to momentálne vyriešiť, je zabezpečiť, aby ste mali najnovšiu zálohu súborov, ktoré je možné v skutočnosti obnoviť. Utrite a znovu postavte stroj a obnovte súbory.
Tento príspevok na BleepingComputers je vynikajúcim čítaním, ak sa chcete dozvedieť viac informácií o tomto Ransomvéri a prekonať situáciu vopred. Metódy uvedené v jej „Tabuľke obsahu“, bohužiaľ, fungujú iba pre 50% prípadov infekcie. Napriek tomu poskytuje dobrú šancu na vrátenie vašich súborov.
