CryptoDefense ransomware dominira raspravama ovih dana. Žrtve koje pada na ovu varijantu Ransomwarea okreću se različitim forumima u velikom broju, tražeći podršku stručnjaka. S obzirom na vrstu otkupnine, program ponaša ponašanje CryptoLocker, ali se ne može smatrati njegovim potpunim izvedbom, jer kôd kojim se pokreće potpuno je drugačiji. Nadalje, šteta koju uzrokuje potencijalno je ogromna.
CryptoDefense Ransomware
Podrijetlo Internet zločinac može se pratiti od žestoki natjecanju između cyber-bandi krajem veljače 2014. To je dovelo do razvoja potencijalno štetnih varijanti ovog Ransomware programa, sposoban za remećenje datoteka neke osobe i prisiljavajući ih izvršiti uplatu za oporavak datoteka.
CryptoDefense, kao što je poznato, cilja tekst, sliku, video, PDF i MS Office datoteke. Kada krajnji korisnik otvori zaražene privitku, program započinje šifriranje svoje ciljne datoteke s jakim RSA-2048 ključem koji je teško poništiti. Nakon što su datoteke šifrirane, zlonamjerni softver postavlja datoteke za otkupninu u svakoj mapi koja sadrži šifrirane datoteke.
Po otvaranju datoteka, žrtva pronađe stranicu CAPTCHA. Ako su datoteke previše važne za njega i on ih želi natrag, on prihvaća kompromis. Nastavljajući dalje, mora ispravno ispuniti CAPTCHA, a podaci se šalju na stranicu za plaćanje. Cijena otkupnine je unaprijed određena, udvostručena ako se žrtva ne pridržava uputa za razvojnog programera u određenom vremenskom razdoblju od četiri dana.
Privatni ključ je potreban za dešifriranje sadržaja dostupna je s razvojnim malware i poslao natrag napadača server samo kada je željena količina se isporučuje u cijelosti kao otkupninu. Čini se da su napadači stvorili "skrivenu" web stranicu za primanje uplata. Nakon što udaljeni poslužitelj potvrdi primatelja privatnog ključa za dešifriranje, snimak zaslona ugrožene radne površine prenosi se na udaljenu lokaciju. CryptoDefense vam omogućuje plaćanje otkupnine slanjem bitcoina na adresu prikazanu na stranici za uklanjanje zlonamjernog softvera.
Iako je čitava shema stvari izgleda dobro razrađeno, CryptoDefense ransomware kada se prvi put pojavio imao je nekoliko bugova. Ključ je ostavio izravno na samom žrtvinom računalu! ?
To, naravno, zahtijeva tehničke vještine, koje prosječni korisnik možda ne posjeduje, kako bi shvatili ključ. Pogreška je najprije primijetila Fabian Wosar iz Emsisoft i dovelo do stvaranja a Decrypter alat koji bi mogao potencijalno preuzimati ključ i dešifrirati vaše datoteke.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Metoda je bila svjedokom uspjeha i pomaganja ljudima, sve do Symantec odlučili napraviti potpunu izlaganje nedostatka i prolijevati grah putem svog bloga. Čin iz Symanteze potaknuo je razvojnog programera za zlonamjerne programe da ažurira CryptoDefense, tako da više ne ostavlja ključ.
Symantecovi istraživači napisali su:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
Na ovo su hakeri odgovorili:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Trenutno je jedini način da to riješite kako biste bili sigurni da imate nedavnu sigurnosnu kopiju datoteka koje se zapravo mogu vratiti. Obrišite i obnovite stroj od nule i vratite datoteke.
Ovaj post na Bleepingcomputers čini izvrsno čitanje ako želite saznati više o ovom Ransomwareu i borbi protiv situacije. Nažalost, metode navedene u svom "Sadržaju" funkcioniraju samo za 50% slučajeva infekcije. Ipak, pruža dobre šanse za vraćanje datoteka.
