CryptoDefense Ransomware och hur Symantec hjälpt till att åtgärda dess fel!
CryptoDefense ransomware dominerar diskussioner dessa dagar. Offren som faller byte mot denna variant av Ransomware har vuxit till olika forum i stort antal, och söker stöd från experter. Betraktas som en typ av ransomware, apesar beteendet hos CryptoLocker, men kan inte betraktas som fullständigt derivat av det, för koden som körs är helt annorlunda. Dessutom är den skada det orsakar potentiellt stor.
CryptoDefense Ransomware
Uppkomsten av Internetmiscreant kan spåras från den rasande konkurrensen som hölls mellan cyber-gäng i slutet av februari 2014. Det ledde till utvecklingen av en potentiellt skadlig variant av detta ransomware-program, som kan kryptera en persons filer och tvinga dem att göra en betalning för att återställa filerna.
CryptoDefense, som det är känt, riktar sig till text, bild, video, PDF och MS Office-filer. När en slutanvändare öppnar den infekterade bilagan börjar programmet kryptera sina målfiler med en stark RSA-2048-nyckel som är svår att ångra. När filerna är krypterade läggs skadliga program i en mapp som innehåller krypterade filer.
Vid öppnandet av filerna finner offeret en CAPTCHA-sida. Om filerna är för viktiga för honom och han vill ha dem tillbaka, accepterar han kompromissen. Efterföljande måste han fylla i CAPTCHA korrekt och uppgifterna skickas till betalningssidan. Återbetalningspriset är förutbestämt, fördubblat om offret inte följer utvecklarens instruktioner inom en bestämd tidsperiod på fyra dagar.
Den privata nyckeln som behövs för att dekryptera innehållet är tillgängligt med utvecklaren av skadlig programvara och skickas endast tillbaka till angriparens server när önskat belopp levereras i sin helhet som lösenbelopp. Anfallarna verkar ha skapat en "dold" hemsida för att få betalningar. När fjärrservern bekräftar mottagaren av den privata dekrypteringsnyckeln, laddas en skärmdump av det komprometterade skrivbordet till fjärranläggningen. CryptoDefense tillåter dig att betala lösenummet genom att skicka Bitcoins till en adress som visas på skadlig kods dekrypteringsservice sida.
Även om hela schemat av saker verkar vara väl utarbetat, CryptoDefense ransomware när det först uppträdde hade några buggar. Det lämnade nyckeln rätt på offerets dator själv! 😀Detta kräver naturligtvis tekniska färdigheter, som en genomsnittlig användare kanske inte har, för att räkna ut nyckeln. Felet märktes först av Fabian Wosar of Emsisoft och ledde till skapandet av a Decrypter verktyg som eventuellt kan hämta nyckeln och dekryptera dina filer.
En av de viktigaste skillnaderna mellan CryptoDefense och CryptoLocker är det faktum att CryptoLocker genererar sitt RSA-nyckelpar på kommandot och kontrollservern. CryptoDefense använder å andra sidan Windows CryptoAPI för att generera nyckelparet på användarens system. Nu skulle det inte göra för mycket av en skillnad om det inte var för några lite kända och dåligt dokumenterade quirks av Windows CryptoAPI. En av de här frågorna är att om du inte är försiktig så kommer det att skapa lokala kopior av de RSA-nycklar som ditt program arbetar med. Den som skapade CryptoDefense var tydligt inte medveten om detta beteende, och sålunda var de inte bekant med dem, nyckeln till att låsa upp en infekterad användares filer lagras faktiskt på användarens system, sade Fabian i ett blogginlägg med titeln Historien om osäkra ransomware nycklar och självbetjänade bloggare.
Metoden bevittnade framgång och hjälpte människor tills Symantec beslutade göra en fullständig exposé av felet och spill bönorna via dess blogginlägg. Handlingen från Symantec bad malwareutvecklaren att uppdatera CryptoDefense, så att den inte längre lämnar nyckeln bakom.
Symantecs forskare skrev:
På grund av attackerna fattiga genomförandet av den kryptografiska funktionaliteten de har, bokstavligen, lämnade sina gisslan en nyckel till att fly ".
Till detta svarade hackarna:
Spasiba Symantec ("Tack" på ryska). Den buggen har fixats, säger KnowBe4.
För närvarande är det enda sättet att åtgärda det här för att se till att du har en ny säkerhetskopia av filerna som faktiskt kan återställas. Torka och bygga om maskinen från början och återställ filerna.
Det här inlägget på BleepingComputers ger dig en utmärkt läsning om du vill lära dig mer om denna Ransomware och bekämpa situationen på förhand. Tyvärr fungerar de metoder som anges i dess "Innehållsförteckning" endast för 50% av infektionsfallen. Ändå ger det en bra chans att få dina filer tillbaka.