Phenquestions
„CryptoDefense“ „Ransomware“ šiais laikais vyrauja diskusijose. Nukentėjusieji, patekę į šį „Ransomware“ variantą, gausiai kreipėsi į skirtingus forumus, prašydami ekspertų pagalbos. Laikoma, kad išpirkos programa yra programa, beždžionių elgesys „CryptoLocker“, bet negali būti laikomas visišku jo dariniu, nes jo vykdomas kodas yra visiškai kitoks. Be to, jo padaryta žala yra potencialiai didelė.
„CryptoDefense Ransomware“
Nesąžiningo interneto kilmę galima atsekti iš įsiuto konkurso, vykusio tarp kibernetinių gaujų 2014 m. Vasario pabaigoje. Tai sukėlė potencialiai kenksmingą šios išpirkos programos variantą, galintį peršifruoti asmens failus ir priversti juos sumokėti už failų atkūrimą.
„CryptoDefense“, kaip žinoma, nukreipta į teksto, paveikslėlio, vaizdo įrašo, PDF ir „MS Office“ failus. Kai galutinis vartotojas atidaro užkrėstą priedą, programa pradeda šifruoti savo tikslinius failus stipriu RSA-2048 raktu, kurį sunku anuliuoti. Kai failai yra užšifruoti, kenkėjiška programa išpirkos failus reikalauja kiekviename aplanke, kuriame yra užšifruoti failai.
Atidaręs bylas auka randa CAPTCHA puslapį. Jei bylos jam yra per svarbios ir jis nori jų grąžinti, jis sutinka su kompromisu. Tęsdamas toliau, jis turi teisingai užpildyti CAPTCHA ir duomenys bus išsiųsti į mokėjimo puslapį. Išpirkos kaina yra iš anksto nustatyta, padvigubinta, jei auka per nustatytą keturių dienų laikotarpį nevykdo kūrėjo nurodymų.
Turinį iššifruoti reikalingą privatųjį raktą gali įsigyti kenkėjiškų programų kūrėjas ir jis siunčiamas atgal į užpuoliko serverį tik tada, kai visa norima suma bus pristatyta kaip išpirkos mokestis. Panašu, kad užpuolikai sukūrė „paslėptą“ svetainę mokėjimams gauti. Nuotoliniam serveriui patvirtinus privataus iššifravimo rakto gavėją, pažeisto darbalaukio ekrano kopija įkeliama į nuotolinę vietą. „CryptoDefense“ leidžia sumokėti išpirką siunčiant „Bitcoins“ kenkėjiškos programos iššifravimo paslaugos puslapyje nurodytu adresu.
Nors atrodo, kad visa dalykų schema yra gerai parengta, „CryptoDefense“ išpirkos programa, kai ji pasirodė, turėjo keletą klaidų. Jis paliko raktą tiesiai pačiame aukos kompiuteryje! : D
Tam, žinoma, reikalingi techniniai įgūdžiai, kurių paprastas vartotojas gali neturėti, kad išsiaiškintų raktą. Pirmą kartą trūkumą pastebėjo Fabianas Wosaras iš „Emsisoft“ ir paskatino sukurti Iššifruotojas įrankis, kuris gali nuskaityti raktą ir iššifruoti failus.
Vienas iš pagrindinių „CryptoDefense“ ir „CryptoLocker“ skirtumų yra tai, kad „CryptoLocker“ sukuria savo RSA raktų porą komandų ir valdymo serveryje. Kita vertus, „CryptoDefense“ naudoja „Windows CryptoAPI“, kad generuotų raktų porą vartotojo sistemoje. Dabar tai nebūtų per didelis skirtumas, jei ne keletas mažai žinomų ir mažai dokumentuotų „Windows CryptoAPI“ keistenybių. Vienas iš tų keistenybių yra tas, kad jei nesate atsargūs, jis sukurs vietines RSA raktų, su kuriomis dirba jūsų programa, kopijas. Kas sukūrė „CryptoDefense“, aiškiai nežinojo apie šį elgesį, todėl, jiems nežinant, užkrėsto vartotojo failų atrakinimo raktas iš tikrųjų buvo laikomas vartotojo sistemoje, sakė Fabianas tinklaraščio įraše pavadinimu Nesaugių išpirkos programų raktų ir savitarnos tinklaraštininkų istorija.
Šis metodas liudijo sėkmę ir padėjo žmonėms iki „Symantec“ nusprendė padaryti visą trūkumo aprašą ir išpilti pupeles per savo tinklaraščio įrašą. „Symantec“ veiksmas kenkėjiškų programų kūrėją paskatino atnaujinti „CryptoDefense“, kad jis nebepaliktų rakto.
„Symantec“ tyrėjai rašė:
Dėl užpuolikų netinkamo kriptografijos funkcionalumo jie tiesiogine prasme paliko savo įkaitams raktą pabėgti “.
Į tai hakeriai atsakė:
„Spasiba Symantec“ (rusų k. „Ačiū“). Ši klaida buvo ištaisyta, sako „KnowBe4“.
Šiuo metu vienintelis būdas tai išspręsti yra įsitikinti, kad turite naujausią failų atsarginę kopiją, kurią iš tikrųjų galima atkurti. Nuvalykite ir atstatykite mašiną nuo nulio ir atkurkite failus.
Šis „BleepingComputers“ įrašas leidžia puikiai perskaityti, jei norite sužinoti daugiau apie šią „Ransomware“ ir kovoti su situacija iš anksto. Deja, „Turinio lentelėje“ išvardyti metodai tinka tik 50% infekcijos atvejų. Vis dėlto tai suteikia didelę galimybę susigrąžinti failus.
