Pagina principala » Securitate » CryptoDefense Ransomware și cum a ajutat Symantec să remedieze defectele sale!

    CryptoDefense Ransomware și cum a ajutat Symantec să remedieze defectele sale!

    CryptoDefense ransomware-ul domină discuțiile în aceste zile. Victimele care se încadrează în această variantă a Ransomware se îndreaptă către numeroase forumuri în număr mare, solicitând sprijin din partea experților. Considerat ca un tip de ransomware, programul apesă comportamentul lui CryptoLocker, dar nu poate fi considerat derivat complet al acestuia, deoarece codul pe care îl rulează este complet diferit. În plus, prejudiciul cauzat este potențial vast.

    CryptoDefense Ransomware

    Originea ghinionului de Internet poate fi urmărită din cauza concurenței furioase ținute între bandele cibernetice la sfârșitul lunii februarie 2014. Aceasta a condus la dezvoltarea unei variante potențial dăunătoare a acestui program de răscumpărare, capabilă să scaneze fișierele unei persoane și să-i forțeze să facă o plată pentru recuperarea fișierelor.

    CryptoDefense, după cum se știe, vizează fișiere text, imagine, video, PDF și MS Office. Când un utilizator final deschide atașamentul infectat, programul începe să cripteze fișierele țintă cu o cheie puternică RSA-2048 care este greu de anula. Odată ce fișierele sunt criptate, malware-ul pune în evidență fișierele de răscumpărare în fiecare folder care conține fișiere criptate.

    La deschiderea fișierelor, victima găsește o pagină CAPTCHA. Dacă fișierele sunt prea importante pentru el și le dorește înapoi, acceptă compromisul. Continuând, trebuie să completați corect codul CAPTCHA și datele să fie trimise la pagina de plată. Prețul răscumpărării este predeterminat, dublat dacă victima nu respectă instrucțiunile dezvoltatorului într-un interval de timp definit de patru zile.

    Cheia privată necesară pentru decriptarea conținutului este disponibilă împreună cu dezvoltatorul malware-ului și este trimisă înapoi la serverul atacatorului numai atunci când suma dorită este livrată în întregime ca răscumpărare. Atacatorii par să fi creat un site "ascuns" pentru a primi plăți. După ce serverul la distanță confirmă destinatarul cheii private de decriptare, o captură de ecran a desktopului compromis este încărcată în locația de la distanță. CryptoDefense vă permite să plătiți răscumpărarea prin trimiterea Bitcoins la o adresă afișată în pagina Serviciului Decrypt al malware-ului.

    Deși întreaga schemă a lucrurilor pare să fie bine dezvoltată, CryptoDefense ransomware, când a apărut pentru prima oară, a avut câteva bug-uri. A lăsat cheia în dreptul calculatorului victimei! 😀

    Acest lucru, desigur, necesită abilități tehnice, pe care un utilizator mediu le-ar putea să nu le dețină, să-și dea seama cheia. Defecțiunea a fost observată pentru prima oară de Fabian Wosar de Emsisoft și a dus la crearea unui Decrypter instrument care ar putea să recupereze cheia și să vă decripteze fișierele.

    Una dintre diferențele cheie dintre CryptoDefense și CryptoLocker este faptul că CryptoLocker generează perechea de chei RSA pe serverul de comandă și control. CryptoDefense, pe de altă parte, folosește Windows CryptoAPI pentru a genera perechea de chei din sistemul utilizatorului. Acum, acest lucru nu ar face prea mult de o diferență, dacă nu a fost pentru unele curiozități puțin cunoscut și slab documentate de Windows CryptoAPI. Una dintre aceste ciudățenii este că, dacă nu ești atent, va crea copii locale ale cheilor RSA cu care lucrează programul tău. Oricine a creat CryptoDefense în mod clar nu a fost conștient de acest comportament și, astfel, fără să știe, cheia pentru a debloca fișierele unui utilizator infectat a fost de fapt păstrată în sistemul utilizatorului, a spus Fabian, într-un post pe blog intitulat Povestea cheilor de răscumpărare nesigure și a bloggerilor care se ocupă de sine.

    Metoda a fost martor de succes și de a ajuta oamenii, până la Symantec a decis să facă o expunere completă a defectului și să vărsăm fasolea prin postarea de pe blog. Actul de la Symantec a determinat dezvoltatorul de programe malware să actualizeze CryptoDefense, astfel încât acesta să nu mai lase cheia în urmă.

    Symantec cercetătorii au scris:

    Datorită atacatorilor, implementarea slabă a funcționalității criptografice pe care o au, literalmente, le-a lăsat ostatecii o cheie pentru a scăpa ".

    La aceasta hackerii au răspuns:

    Spasiba Symantec ("Vă mulțumim" în limba rusă). Acest bug a fost stabilit, spune KnowBe4.

    În prezent, singura modalitate de a remedia acest lucru este să vă asigurați că aveți o copie de rezervă recentă a fișierelor care pot fi restaurate. Ștergeți și reconstruiți aparatul de la zero și restaurați fișierele.

    Acest post pe BleepingComputers face pentru o excelentă citire dacă doriți să aflați mai multe despre acest Ransomware și combaterea situației în avans. Din păcate, metodele enumerate în "Cuprinsul său" funcționează doar pentru 50% din cazurile de infecție. Cu toate acestea, acesta oferă o șansă bună de a vă întoarce fișierele.

    CryptoLocker Tripwire gratuit instrument de prevenire a criptolocker
    CryptoMonitor Instrumentul de protecție și prevenire a răscumpărării gratuite
    Crunchyroll pentru Apple TV (recenzie)
    Articolul următor
    Instrumentul de decriptare CryptoLocker a fost lansat
    Articolul precedent
    Împușcați craniile și spargeți spinii în Mortal Kombat X Mobile afară acum pe iOS și în curând pe Android