Phenquestions
CryptoDefense ransomware dominerar diskussionerna idag. Offer som blir offer för denna variant av Ransomware har vänt sig till olika forum i stort antal och sökt stöd från experter. Anses som en typ av ransomware, apes programmet beteende av CryptoLocker, men kan inte betraktas som ett fullständigt derivat av den, för koden den kör är helt annorlunda. Dessutom är skadan som den orsakar potentiellt stor.
CryptoDefense Ransomware
Ursprunget till Internet-missbrukaren kan spåras från den rasande tävlingen som hölls mellan cyber-gäng i slutet av februari 2014. Det ledde till utvecklingen av en potentiellt skadlig variant av detta ransomware-program, som kan kryptera en persons filer och tvinga dem att betala för att återställa filerna.
CryptoDefense riktar sig som känt till text-, bild-, video-, PDF- och MS Office-filer. När en slutanvändare öppnar den infekterade bilagan börjar programmet kryptera sina målfiler med en stark RSA-2048-nyckel som är svår att ångra. När filerna är krypterade lägger skadlig programvara fram en lösenkrav-filer i varje mapp som innehåller krypterade filer.
När filerna öppnas hittar offret en CAPTCHA-sida. Om filerna är för viktiga för honom och han vill ha dem tillbaka accepterar han kompromissen. Fortsätt vidare måste han fylla i CAPTCHA korrekt och uppgifterna skickas till betalningssidan. Lösenpriset är förutbestämt, fördubblas om offret inte följer utvecklarens instruktioner inom en definierad tidsperiod på fyra dagar.
Den privata nyckel som behövs för att dekryptera innehållet är tillgänglig hos utvecklaren av skadlig programvara och skickas tillbaka till angriparens server endast när önskat belopp levereras i sin helhet som lösen. Angriparna verkar ha skapat en "dold" webbplats för att ta emot betalningar. Efter att fjärrservern har bekräftat mottagaren av den privata dekrypteringsnyckeln laddas en skärmdump av det komprometterade skrivbordet upp till fjärrplatsen. CryptoDefense låter dig betala lösen genom att skicka Bitcoins till en adress som visas på skadlig programvara Decrypt Service-sidan.
Även om hela planen verkar vara väl utarbetad, hade CryptoDefense ransomware när det först verkade ha några buggar. Den lämnade nyckeln till höger på själva offrets dator! : D
Detta kräver naturligtvis tekniska färdigheter som en genomsnittlig användare kanske inte har för att räkna ut nyckeln. Bristen märktes först av Fabian Wosar från Emsisoft och ledde till skapandet av en Dekrypterare verktyg som potentiellt kan hämta nyckeln och dekryptera dina filer.
En av de viktigaste skillnaderna mellan CryptoDefense och CryptoLocker är det faktum att CryptoLocker genererar sitt RSA-nyckelpar på kommando- och styrservern. CryptoDefense använder å andra sidan Windows CryptoAPI för att generera nyckelparet i användarens system. Nu skulle det inte göra för stor skillnad om det inte var för lite kända och dåligt dokumenterade konstigheter i Windows CryptoAPI. En av dessa särdrag är att om du inte är försiktig kommer den att skapa lokala kopior av de RSA-nycklar som ditt program fungerar med. Den som skapade CryptoDefense var uppenbarligen inte medveten om detta beteende, och utan att känna till dem var nyckeln för att låsa upp en infekterad användares filer faktiskt på användarens system, säger Fabian, i ett blogginlägg med titeln Historien om osäkra ransomware-nycklar och självbetjäna bloggare.
Metoden bevittnade framgång och hjälpte människor fram till Symantec bestämde mig för att göra en fullständig exponering av bristen och spilla bönorna via sitt blogginlägg. Handlingen från Symantec fick malwareutvecklaren att uppdatera CryptoDefense, så att den inte längre lämnar nyckeln bakom.
Symantec-forskare skrev:
På grund av angriparna dålig implementering av kryptografisk funktionalitet har de bokstavligen lämnat sina gisslan en nyckel för att fly ”.
På detta svarade hackarna:
Spasiba Symantec ("tack" på ryska). Det felet har åtgärdats, säger KnowBe4.
För närvarande är det enda sättet att åtgärda detta att se till att du har en ny säkerhetskopia av filerna som faktiskt kan återställas. Torka och bygga om maskinen från grunden och återställ filerna.
Det här inlägget på BleepingComputers ger en utmärkt läsning om du vill lära dig mer om denna Ransomware och bekämpa situationen i förväg. Tyvärr fungerar metoderna i dess '' Innehållsförteckning '' endast för 50% av infektionsfall. Ändå ger det en bra chans att få tillbaka dina filer.
