Phenquestions
CryptoDefense a ransomware uralja manapság a vitákat. A Ransomware ezen változatának áldozataivá vált áldozatok nagy számban fordultak különböző fórumokhoz, és szakértők támogatását kérték. A ransomware egyik típusának tekintve a program majmolja a viselkedését CryptoLocker, de nem tekinthető teljes származékának, mivel a futtatott kód teljesen más. Sőt, az általa okozott kár óriási.
CryptoDefense Ransomware
Az internetes bűnözők eredete a kiberbandák között 2014. február végén megrendezett dühödt versenyből eredeztethető. Ennek a ransomware programnak egy potenciálisan káros változatának kifejlesztéséhez vezetett, amely képes kódolni egy személy fájljait és fizetésre kényszeríteni őket a fájlok helyreállítása érdekében.
A CryptoDefense, mint ismert, szöveges, kép-, video-, PDF- és MS Office-fájlokat céloz meg. Amikor a végfelhasználó megnyitja a fertőzött mellékletet, a program megkezdi a célfájlok titkosítását egy erős RSA-2048 kulccsal, amelyet nehéz visszavonni. A fájlok titkosítása után a kártevő váltságdíjas fájlokat tesz ki minden titkosított fájlokat tartalmazó mappában.
A fájlok megnyitása után az áldozat talál egy CAPTCHA oldalt. Ha a fájlok túl fontosak számára, és vissza akarja kérni őket, akkor elfogadja a kompromisszumot. Továbbhaladva helyesen kell kitöltenie a CAPTCHA-t, és az adatokat elküldik a fizetési oldalra. A váltságdíj ára előre meghatározott, megduplázódik, ha az áldozat egy meghatározott négy napon belül nem tesz eleget a fejlesztő utasításainak.
A tartalom visszafejtéséhez szükséges magánkulcs a kártevő fejlesztőjénél érhető el, és csak akkor küldhető vissza a támadó szerverére, ha a kívánt összeget teljes egészében váltságdíjként kézbesítik. Úgy tűnik, hogy a támadók „rejtett” weboldalt hoztak létre a kifizetések fogadására. Miután a távoli kiszolgáló visszaigazolta a privát visszafejtési kulcs címzettjét, a feltört asztalról képernyőképet tölt fel a távoli helyre. A CryptoDefense lehetővé teszi a váltságdíj fizetését azzal, hogy Bitcoins-t küld a címre, amely a rosszindulatú program Decrypt Service oldalán látható.
Bár úgy tűnik, hogy a dolgok egész rendszere jól kidolgozott, a CryptoDefense ransomware első megjelenésekor tartalmazott néhány hibát. A kulcsot közvetlenül az áldozat számítógépén hagyta! : D
Ehhez természetesen olyan technikai készségekre van szükség, amelyek egy átlagos felhasználónak nincsenek birtokában a kulcs kitalálásához. A hibát először Fabian Wosar észlelte Emsisoft és létrehozásához vezetett a Decrypter eszköz, amely potenciálisan lekérheti a kulcsot és visszafejtheti a fájljait.
Az egyik legfontosabb különbség a CryptoDefense és a CryptoLocker között az a tény, hogy a CryptoLocker létrehozza RSA kulcspárját a parancs- és vezérlőszerveren. A CryptoDefense viszont a Windows CryptoAPI segítségével generálja a kulcspárokat a felhasználó rendszerén. Ez most nem okozna nagy különbséget, ha nem a Windows CryptoAPI néhány kevéssé ismert és rosszul dokumentált furcsa oka lenne. Az egyik ilyen furcsa, hogy ha nem vigyázol, akkor helyi másolatokat készít az RSA kulcsokról, amelyekkel a programod működik. Aki létrehozta a CryptoDefense-t, nyilvánvalóan nem volt tisztában ezzel a viselkedéssel, ezért tudomásuk nélkül a fertőzött felhasználó fájljainak feloldásának kulcsát valóban a felhasználó rendszerén őrizték - mondta Fabian egy blogbejegyzésében A nem biztonságos ransomware kulcsok és az öncélú bloggerek története.
A módszer a siker tanúja volt és segített az embereknek, amíg Symantec úgy döntött, hogy teljes körűen bemutatja a hibát, és kiönti a babot a blogbejegyzésén keresztül. A Symantec cselekedete arra késztette a rosszindulatú programokat fejlesztőket, hogy frissítsék a CryptoDefense-t, hogy ne hagyja tovább a kulcsot.
A Symantec kutatói ezt írták:
A támadók a kriptográfiai funkciók gyenge megvalósítása miatt szó szerint a túszaiknak kulcsot hagytak a szökéshez ”.
Erre a hackerek azt válaszolták:
Spasiba Symantec („Köszönöm” oroszul). Ezt a hibát kijavították - mondja a KnowBe4.
Jelenleg csak így lehet kijavítani, ha nemrégiben biztonsági másolatot készít a fájlokról, amelyeket valóban vissza lehet állítani. Törölje és újjáépítse a gépet a semmiből, és állítsa vissza a fájlokat.
Ez a bejegyzés a BleepingComputers-ről kiváló olvasmányt nyújt, ha többet szeretne megtudni erről a Ransomware-ről és a helyzet előzetes leküzdéséről. Sajnos a „Tartalomjegyzékben” felsorolt módszerek csak a fertőzéses esetek 50% -ánál működnek. Mégis jó esélyt nyújt a fájlok visszaszerzésére.
