CryptoDefense V dnešných dňoch dominuje diskusia o ransomeriách. Obete, ktoré sa stali obeťou tejto varianty Ransomware, sa obracajú na rôzne fóra vo veľkom počte a hľadajú podporu od odborníkov. Považuje sa za typ ransomware, program apes správanie CryptoLocker, ale nemožno ju považovať za úplnú deriváciu, pretože kód, ktorý beží, je úplne iný. Navyše, škody, ktoré spôsobuje, sú potenciálne obrovské.
CryptoDefense Ransomware
Vznik internetového zneužitia sa dá vysledovať zo zúrivej konkurencie medzi cyber-gangmi koncom februára 2014. To viedlo k vývoju potenciálne škodlivého variantu tohto ransomware programu, schopného skompilovať súbory osôb a prinútiť ich, aby vykonali platbu na obnovenie súborov.
CryptoDefense, ako je známe, je zacielený na textové, obrázkové, video, PDF a MS Office súbory. Keď koncový používateľ otvorí napadnutú prílohu, program začne zašifrovať svoje cieľové súbory pomocou silného kľúča RSA-2048, ktorý je ťažké vrátiť späť. Akonáhle sú súbory zašifrované, škodlivý softvér uvádza do každého priečinka obsahujúceho šifrované súbory súbory výkupného.
Po otvorení súborov nájde obeť stránku CAPTCHA. Ak sú súbory preňho príliš dôležité a on ich chce späť, akceptuje kompromis. Pokračovať ďalej, musí vyplniť CAPTCHA správne a údaje sa posielajú na platobnú stránku. Cena výkupného je vopred stanovená a zdvojnásobená, ak obeť nedodrží pokyny vývojára v stanovenej lehote štyroch dní.
Súkromný kľúč potrebný na dešifrovanie obsahu je dostupný u vývojára škodlivého softvéru a je poslaný späť na server útočníka len vtedy, keď je požadovaná čiastka doručená v plnej výške ako výkupné. Zdá sa, že útočník vytvoril "skrytú" webovú stránku na príjem platieb. Po tom, ako vzdialený server potvrdí príjemcu privátneho dešifrovacieho kľúča, je snímka obrazovky kompromitovanej plochy odovzdaná na vzdialené miesto. CryptoDefense vám umožňuje zaplatiť výkupné zaslaním Bitcoins na adresu zobrazenú na stránke služby Decrypt služby škodlivého softvéru.
Hoci sa celá schéma vecí zdá byť dobre vypracovaná, CryptoDefense ransomware, keď sa prvý krát objavil, má niekoľko chýb. Opustil kľúč priamo na počítači obete! ?
To samozrejme vyžaduje technické zručnosti, ktoré priemerný používateľ nemusí mať, aby zistil kľúč. Tento nedostatok si najskôr všimol Fabian Wosar of Emsisoft a viedlo k vytvoreniu Decrypter nástroj, ktorý by potenciálne mohol načítať kľúč a dešifrovať súbory.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Metóda bola svedkom úspechu a pomáhania ľuďom, kým Symantec rozhodli sa plne exponovať chybu a rozliať fazuľa cez jeho blog post. Zákon zo spoločnosti Symantec prinútil vývojára škodlivého softvéru aktualizovať program CryptoDefense tak, aby už neopustil kľúč.
Vedci spoločnosti Symantec napísali:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
Na to hackeri odpovedali:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
V súčasnosti je jediný spôsob, ako to opraviť, aby ste sa uistili, že máte nedávno zálohované súbory, ktoré je možné skutočne obnoviť. Zotrite a znovu vytvorte zariadenie od začiatku a obnovte súbory.
Tento príspevok v službe BleepingComputers umožňuje vynikajúce čítanie, ak sa chcete dozvedieť viac o tomto Ransomware a bojovať proti situácii vopred. Bohužiaľ, metódy uvedené v jeho "Obsahu" fungujú iba pre 50% prípadov infekcie. Napriek tomu poskytuje dobrú šancu na spätné získanie súborov.
