CryptoDefense Ransomware on tänapäeval domineeriv arutelud. Ransomware selle variandi saagiks olevad ohvrid on pöördunud suure hulga erinevate foorumite poole, otsides ekspertide toetust. Arvestades ransomaterjali tüüpi, on programm ebasobiv CryptoLocker, kuid seda ei saa pidada selle täielikuks tuletiseks, kuna selle kood on täiesti erinev. Veelgi enam, selle tekitatud kahju on potentsiaalselt suur.
CryptoDefense Ransomware
Internetis valitseva probleemi päritolu saab jälgida 2014. aasta veebruari lõpus kiberrühmituste vahel toimunud hoogsast võistlusest. See viis selle ransomware programmi potentsiaalselt kahjuliku variandi arendamiseni, mis on võimeline skrambleerima isiku faile ja sundides neid maksma failide taastamiseks.
Nagu teada, on CryptoDefense suunatud teksti, pildi, video, PDF-i ja MS Office'i failidele. Kui lõppkasutaja avab nakatunud manuse, hakkab programm sihtfailide krüptimiseks tugevat RSA-2048-koodi, mida on raske taganeda. Kui failid on krüptitud, annab pahavara krüptitud failidesse kõigis kaustades ransom-nõudmisfailid.
Failide avamisel leiab ohver lehte CAPTCHA. Kui failid on talle liiga olulised ja ta tahab neid tagasi, nõustub ta kompromissiga. Edaspidi peab ta korrektselt CAPTCHA täitma ja andmed saadetakse makselehele. Lunaraha hind on eelnevalt kindlaks määratud, kahekordistunud, kui ohver ei järgi arendaja juhiseid nelja päeva jooksul kindlaksmääratud aja jooksul.
Sisu dekrüptimiseks vajalik eravõti on saadaval pahavara arendajaga ja saadetakse tagasi ründaja serverisse ainult siis, kui soovitud summa on täies ulatuses lunaraha kätte toimetatud. Näib, et ründajad on maksete saamiseks loonud peidetud veebisaidi. Kui serveri server kinnitab privaatse dekrüptimise võtme saaja, laaditakse kahjustatud töölaua ekraanipilt kaugesse asukohta. CryptoDefense võimaldab teil tasuda lunaraha, saates Bitcoinid aadressi, mis on näidatud pahavara Decrypt Service lehel.
Kuigi kogu asjade skeem tundub olevat hästi välja töötatud, oli CryptoDefense ransomaterjal esmakordsel ilmumisel mõned vead. See jättis võti enda arvuti paremale! ?
See nõuab loomulikult tehnilisi oskusi, mida keskmine kasutaja ei pruugi olla, võtme välja selgitamiseks. Vea esmakordselt märkis Fabian Wosar of Emsisoft ja viinud loomiseni Decrypter tööriist, mis võtaks võtme võtit ja dekrüpteeriks teie faile.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Meetod oli tunnistajaks edule ja inimeste abistamisele kuni aastani Symantec otsustas teha täieliku ekspositsiooni viga ja pritsid oad läbi oma blogipostituse. Symanteci käitumine kutsus pahavara arendajat värskendama CryptoDefense'i, nii et see ei jätaks võtme taha enam.
Symanteci teadlased kirjutasid:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
Sellele vastasid häkkerid:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Ainus viis seda lahendada on sellegipoolest, et teil oleks varem failide varundamine, mida tegelikult saab taastada. Puhastage masin nullist uuesti ja taastage need ja taastage need failid.
See BleepingComputersi postitus annab suurepärase lugemise, kui soovite selle Ransomware kohta rohkem teada saada ja seda olukorda ennetavalt võidelda. Kahjuks töötavad oma "Sisukord" loetletud meetodid 50% ulatuses ainult infektsioonijuhtumitest. Siiski annab see hea võimaluse oma failid tagasi saada.
