CryptoDefense Ransomware yra dominuojanti diskusija šiomis dienomis. "Ransomware" šio varianto aukos nukentėję nukentėję asmenys daug kreipiasi į įvairius forumus, siekdami gauti ekspertų paramą. Laikoma, kaip ransomaterialo rūšis, programa apeis elgesį CryptoLocker, bet negali būti laikomas visišku jo išvestiniu, nes jo naudojamas kodas yra visiškai kitoks. Be to, jo padaryta žala gali būti didžiulė.
CryptoDefense Ransomware
Interneto kaltės kilmę galima atskleisti nuo netikro konkurencijos tarp kibernetinių gaujų 2014 m. Vasario mėn. Pabaigoje. Tai sukėlė potencialiai kenksmingą šios ransomware programos variantą, galintį sugadinti asmens failus ir verčia juos atlikti mokėjimą. atkurti failus.
Kaip žinoma, "CryptoDefense" taiko teksto, paveikslėlio, vaizdo, PDF ir MS Office failus. Kai galutiniam vartotojui atidaromas užkrėstas priedas, programa pradeda šifruoti tikslinius failus su tvirtu RSA-2048 raktu, kurį sunku atšaukti. Kai failai yra užšifruoti, kenkėjiškoji programinė įranga išskleidžia išieškojimo reikalaujančius failus kiekviename aplanke, kuriame yra užkoduotų failų.
Atidarius failus, auka suranda CAPTCHA puslapį. Jei failai jam yra pernelyg svarbūs ir jis nori juos grąžinti, jis sutinka su kompromisu. Tęsdamas toliau, jis turi užpildyti CAPTCHA teisingai, o duomenys siunčiami į mokėjimo puslapį. Išpirkimo kaina yra iš anksto nustatyta, padvigubėja, jei auka per nustatytą keturių dienų laikotarpį nesilaiko kūrėjo nurodymų.
Privatus raktas, reikalingas turinio iššifravimui, yra prieinamas kenkėjiškos programinės įrangos kūrėjui ir grąžinamas į prieglobos serverį tik tada, kai pageidaujama suma yra visiškai pristatyta kaip išpirka. Panašu, kad užpuolikai sukūrė "paslėptą" internetinę svetainę mokėjimams gauti. Kai nuotolinis serveris patvirtina privataus de¹ifravimo rakto gavìj ±, kompromituoto darbalaukio ekrano kopija nuskaityta i nuotolinìs vietovìs. "CryptoDefense" leidžia jums sumokėti išpirką, siųsdami "Bitcoins" adresu, nurodytu kenkėjiškų programų "Decrypt Service" puslapyje.
Nors visa daiktų schema gerai išvystyta, CryptoDefense ransomware, kai ji pirmą kartą pasirodė, turėjo keletą klaidų. Jis paliko raktą tiesiai ant patys nukentėjusiojo kompiuterio! ?
Tai, žinoma, reikalauja techninių įgūdžių, kurių vidutinis vartotojas gali neturėti, išsiaiškinti raktą. Šis trūkumas buvo pirmą kartą pastebėtas Fabianas Wozaras iš Emsisoft ir paskatino sukurti Decrypter įrankis, galintis atkurti raktą ir iššifruoti failus.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Šis metodas liudijo sėkmę ir padėjo žmonėms iki pat " Symantec" nusprendė išsamiai aptikti trūkumą ir išspausti pupelės per savo tinklaraščio įrašą. "Symantec" veiksmas paskatino kenkėjiškų programų kūrėją atnaujinti "CryptoDefense", taigi jis nebeegzistuoja.
"Symantec" mokslininkai rašė:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
Tam įsilaužėliai atsakė:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Šiuo metu vienintelis būdas tai išspręsti yra įsitikinti, ar turite nesenų failų atsarginę kopiją, kurios iš tikrųjų gali būti atkurtos. Nuplaukite ir atkurkite mašiną nuo nulio ir atkurkite failus.
Šis "BleepingComputers" įrašas yra puikus skaitymas, jei norite sužinoti daugiau apie šį "Ransomware" ir kovoti su situacija iš anksto. Deja, "Turinio lentelėje" išvardyti metodai veikia tik 50% tik infekcijos atvejų. Vis dėlto tai suteikia gerų galimybių susigrąžinti failus.
