Phenquestions
CryptoDefense v današnjih razpravah prevladuje ransomware. Žrtve, ki postanejo žrtev te različice Ransomware, se v velikem številu obračajo na različne forume in iščejo podporo strokovnjakov. Program, ki velja za vrsto odkupne programske opreme, se ponaša z vedenjem CryptoLocker, vendar je ni mogoče šteti za popolno izpeljanko, saj je koda, ki jo izvaja, popolnoma drugačna. Poleg tega je škoda, ki jo povzroča, potencialno velika.
CryptoDefense Ransomware
Izvor internetnih zločincev je mogoče izslediti po besnem tekmovanju med kibernetskimi tolpami konec februarja 2014. To je privedlo do razvoja potencialno škodljive različice tega programa izsiljevalec, ki je sposoben premešati datoteke osebe in jih prisiliti, da plačajo za obnovitev datotek.
Kot je znano, CryptoDefense cilja na besedilo, slike, video, datoteke PDF in MS Office. Ko končni uporabnik odpre okuženo prilogo, program začne šifrirati svoje ciljne datoteke z močnim ključem RSA-2048, ki ga je težko razveljaviti. Ko so datoteke šifrirane, zlonamerna programska oprema v vsako mapo, ki vsebuje šifrirane datoteke, odda datoteke z zahtevami po odkupnini.
Po odprtju datotek žrtev najde stran CAPTCHA. Če so datoteke zanj preveč pomembne in jih želi vrniti, sprejme kompromis. Če nadaljuje, mora pravilno izpolniti CAPTCHA in podatki se pošljejo na plačilno stran. Cena odkupnine je vnaprej določena, podvoji se, če žrtev v določenem roku štirih dni ne upošteva navodil razvijalca.
Zasebni ključ, potreben za dešifriranje vsebine, je na voljo pri razvijalcu zlonamerne programske opreme in se vrne na strežnik napadalca šele, ko je želeni znesek v celoti dostavljen kot odkupnina. Zdi se, da so napadalci ustvarili "skrito" spletno mesto za prejemanje plačil. Ko oddaljeni strežnik potrdi prejemnika zasebnega ključa za dešifriranje, se na oddaljeno mesto naloži posnetek zaslona ogroženega namizja. CryptoDefense vam omogoča, da plačate odkupnino s pošiljanjem Bitcoinov na naslov, prikazan na strani storitve Decrypt zlonamerne programske opreme.
Čeprav se zdi, da je celotna shema stvari dobro razdelana, je ransomware CryptoDefense, ko se je prvič pojavil, imel nekaj napak. Ključ je pustil na samem žrtvinem računalniku! : D
To seveda zahteva tehnična znanja, ki jih povprečni uporabnik morda ne bi imel, da bi ugotovil ključ. Napako je prvič opazil Fabian Wosar iz Emsisoft in privedla do nastanka a Dešifriranje orodje, ki bi lahko pridobilo ključ in dešifriralo vaše datoteke.
Ena ključnih razlik med CryptoDefense in CryptoLocker je dejstvo, da CryptoLocker generira svoj par ključev RSA na ukazno-nadzornem strežniku. CryptoDefense na drugi strani uporablja Windows CryptoAPI za generiranje para ključev v uporabnikovem sistemu. Zdaj to ne bi preveč vplivalo, če ne bi šlo za nekaj malo znanih in slabo dokumentiranih domislic Windows CryptoAPI. Ena izmed teh domislic je, da bo, če niste previdni, ustvaril lokalne kopije RSA ključev, s katerimi deluje vaš program. Kdor je ustvaril CryptoDefense, se očitno tega vedenja ni zavedal, zato je bil ključ za odklepanje datotek okuženega uporabnika dejansko shranjen v uporabnikovem sistemu, je dejal Fabian v objavi v blogu z naslovom Zgodba o negotovih ključih za odkupnino in samopostrežnih blogerjih.
Metoda je bila priča uspehu in pomagala ljudem, vse do Symantec se je odločila, da bo v celoti objavila napako in razlila fižol preko svojega spletnega dnevnika. Dejanje podjetja Symantec je spodbudilo razvijalca zlonamerne programske opreme, da posodobi CryptoDefense, tako da ključa ne pušča več za seboj.
Raziskovalci Symanteca so zapisali:
Zaradi napadalcev, ki slabo izvajajo kriptografsko funkcionalnost, so svojim talcem dobesedno pustili ključ do pobega. ".
Na to so hekerji odgovorili:
Spasiba Symantec ("Hvala" v ruščini). Ta napaka je bila odpravljena, pravi KnowBe4.
Trenutno je edini način, da to popravite, tako, da zagotovite nedavno varnostno kopijo datotek, ki jih je mogoče dejansko obnoviti. Napravo obrišite in znova zgradite ter obnovite datoteke.
Ta objava na BleepingComputers je odlično branje, če želite izvedeti več o tej Ransomware in vnaprejšnjem boju proti situaciji. Na žalost metode, navedene v "Vsebini", delujejo le pri 50% primerov okužbe. Kljub temu pa ponuja dobre možnosti za vrnitev datotek.
