Phenquestions
CryptoDefense Mūsdienās diskusijās dominē ransomware. Upuri, kas kļūst par šī Ransomware varianta upuriem, lielā skaitā ir vērsušies dažādos forumos, meklējot atbalstu no ekspertiem. Tiek uzskatīts, ka ransomware ir viena no programmām, un tā darbojas CryptoLocker, bet to nevar uzskatīt par pilnīgu tā atvasinājumu, jo tā palaistais kods ir pilnīgi atšķirīgs. Turklāt tā nodarītais kaitējums ir potenciāli milzīgs.
CryptoDefense Ransomware
Interneta ļaundara izcelsme ir izsekojama no niknās konkurences, kas 2014. gada februāra beigās notika starp kiberkabām. Tā rezultātā tika izstrādāts potenciāli kaitīgs šīs ransomware programmas variants, kas spēj kodēt personas failus un piespiest viņus veikt maksājumu par failu atkopšanu.
CryptoDefense, kā zināms, ir paredzēts teksta, attēlu, video, PDF un MS Office failiem. Kad galalietotājs atver inficēto pielikumu, programma sāk mērķa failu šifrēšanu ar spēcīgu RSA-2048 atslēgu, kuru ir grūti atsaukt. Kad faili ir šifrēti, ļaunprogrammatūra izliek izpirkuma pieprasījuma failus katrā mapē, kurā ir šifrēti faili.
Atverot failus, upuris atrod CAPTCHA lapu. Ja faili viņam ir pārāk svarīgi un viņš tos vēlas, viņš pieņem kompromisu. Turpinot darbu, viņam pareizi jāaizpilda CAPTCHA, un dati tiek nosūtīti uz maksājumu lapu. Izpirkuma cena ir iepriekš noteikta, divkāršota, ja cietušais noteiktā četru dienu laikā neievēro izstrādātāja norādījumus.
Privātā atslēga, kas nepieciešama satura atšifrēšanai, ir pieejama ļaunprogrammatūras izstrādātājam un tiek nosūtīta atpakaļ uz uzbrucēja serveri tikai tad, kad vēlamā summa tiek pilnībā piegādāta kā izpirkuma maksa. Šķiet, ka uzbrucēji ir izveidojuši “slēptu” vietni maksājumu saņemšanai. Pēc tam, kad attālais serveris apstiprina privātās atšifrēšanas atslēgas saņēmēju, attālajā atrašanās vietā tiek augšupielādēts uzlauzta darbvirsmas ekrānuzņēmums. CryptoDefense ļauj jums maksāt izpirkuma maksu, nosūtot Bitcoins uz adresi, kas parādīta ļaunprogrammatūras lapā Atšifrēšanas pakalpojums.
Lai gan visa lietu shēma, šķiet, ir labi izstrādāta, CryptoDefense ransomware, kad tā pirmo reizi parādījās, bija dažas kļūdas. Tas atstāja atslēgu tieši cietušā datorā! : D
Tam, protams, ir nepieciešamas tehniskas prasmes, kuras vidusmēra lietotājam varētu nebūt, lai saprastu atslēgu. Šo kļūdu pirmo reizi pamanīja Fabians Vosars no Emsisoft un noveda pie a Atšifrētājs rīks, kas potenciāli varētu izgūt atslēgu un atšifrēt jūsu failus.
Viena no galvenajām atšķirībām starp CryptoDefense un CryptoLocker ir fakts, ka CryptoLocker ģenerē savu RSA atslēgu pāri komandu un vadības serverī. Savukārt CryptoDefense izmanto Windows CryptoAPI, lai ģenerētu atslēgu pāri lietotāja sistēmā. Tagad tam nebūtu pārāk lielas atšķirības, ja nebūtu daži maz zināmi un slikti dokumentēti Windows CryptoAPI dīvaini. Viens no šiem dīvainībām ir tāds, ka, ja neesat piesardzīgs, tas izveidos vietējās RSA atslēgu kopijas, ar kurām darbojas jūsu programma. Tas, kurš izveidoja CryptoDefense, acīmredzami nezināja par šo rīcību, un, neapzinoties, inficētā lietotāja failu atbloķēšanas atslēga faktiski tika glabāta lietotāja sistēmā, teica Fabians emuāra ziņā ar nosaukumu Stāsts par nedrošām izpirkuma programmatūras atslēgām un sevi apkalpojošiem emuāru autoriem.
Metode liecināja par panākumiem un palīdzēja cilvēkiem līdz Symantec nolēma veikt pilnu kļūdas ekspozīciju un izlaist pupiņas, izmantojot savu emuāra ziņu. Symantec akts pamudināja ļaundabīgo programmu izstrādātāju atjaunināt CryptoDefense, lai tas vairs neatstātu atslēgu.
Symantec pētnieki rakstīja:
Sakarā ar uzbrucēju slikto kriptogrāfijas funkcionalitāti, viņi tiešā nozīmē ir atstājuši ķīlniekiem atslēgu, lai aizbēgtu ”.
Uz to hakeri atbildēja:
Spasiba Symantec (krievu valodā “Paldies”). Šī kļūda ir novērsta, saka KnowBe4.
Pašlaik vienīgais veids, kā to novērst, ir pārliecināties, vai jums ir nesen izveidots failu dublējums, ko faktiski var atjaunot. Noslaukiet un atjaunojiet iekārtu no jauna un atjaunojiet failus.
Šī ziņa vietnē BleepingComputers ir lieliski lasāma, ja vēlaties uzzināt vairāk par šo Ransomware un situācijas apkarošanu jau iepriekš. Diemžēl tās “Satura rādītājā” uzskaitītās metodes darbojas tikai 50% infekcijas gadījumu. Tomēr tas nodrošina labas iespējas atgūt failus.
