Publicitate

Există vești grozave pentru oricine este afectat de ransomware-ul CrypBoss, HydraCrypt și UmbreCrypt. Fabian Wosar, un cercetător la Emsisoft, are a reușit să le facă inginerie inversă, iar în acest proces a lansat un program care este capabil să decripteze fișierele care altfel ar fi pierdute.

Aceste trei programe malware sunt foarte asemănătoare. Iată ce trebuie să știți despre ele și cum vă puteți recupera fișierele.

Întâlnire cu familia CrypBoss

Crearea de programe malware a fost întotdeauna o industrie de cabană de un miliard de dolari. Dezvoltatorii de software rău intenționați scriu noi programe malware și le licitați criminalilor organizați din cele mai murdare zone ale rețeaua întunecată Călătorie în rețeaua ascunsă: un ghid pentru noii cercetătoriAcest manual vă va duce într-un tur prin numeroasele niveluri ale deep web-ului: baze de date și informații disponibile în reviste academice. În cele din urmă, vom ajunge la porțile Tor. Citeste mai mult .

DarkWeb

Acești criminali le distribuie apoi în toată lumea, în acest proces infectând mii de mașini și producând un

sumă necinstită de bani Ce motivează oamenii să pirateze computerele? Sugestie: BaniInfractorii pot folosi tehnologia pentru a face bani. Stii asta. Dar ați fi surprins cât de ingenioși pot fi, de la hacking și revânzarea de servere până la reconfigurarea lor ca mineri Bitcoin lucrativi. Citeste mai mult .

Se pare că asta s-a întâmplat aici.

Ambii HydraCrypt și UmbreCrypt sunt variante ușor modificate ale unui alt program malware numit CrypBoss. Pe lângă faptul că au un ascendent comun, ei sunt, de asemenea, distribuiti prin trusa de exploatare Angler, care folosește metoda descărcărilor drive-by pentru a infecta victimele. Dann Albright are scris pe larg despre kiturile de exploatare Acesta este modul în care te hack: The Murky World of Exploit KitsEscrocii pot folosi suite software pentru a exploata vulnerabilitățile și a crea malware. Dar ce sunt aceste kituri de exploatare? De unde vin ei? Și cum pot fi opriți? Citeste mai mult în trecut.

Au fost multe cercetări asupra familiei CrypBoss de către unele dintre cele mai mari nume din cercetarea securității computerelor. Codul sursă pentru CrypBoss a fost scurs anul trecut pe PasteBin și a fost aproape imediat devorat de comunitatea de securitate. La sfârșitul săptămânii trecute, McAfee a publicat una dintre cele mai bune analize ale HydraCrypt, care a explicat cum funcționează la cele mai scăzute niveluri.

Diferențele dintre HydraCrypt și UmbreCrypt

În ceea ce privește funcționalitatea lor esențială, HydraCrypt și UmbreCrypt fac ambele același lucru. Când infectează pentru prima dată un sistem, încep să cripteze fișierele pe baza extensiei lor, folosind o formă puternică de criptare asimetrică.

extensii

Au și alte comportamente non-core care sunt destul de comune în software-ul ransomware.

De exemplu, ambele permit atacatorului să încarce și să execute software suplimentar pe mașina infectată. Ambele șterg copiile umbră ale fișierelor criptate, făcând imposibilă restaurarea acestora.

Poate cea mai mare diferență dintre cele două programe este modul în care „răscumpără” fișierele înapoi.

UmbreCrypt este foarte real. Le spune victimelor că au fost infectate și că nu există nicio șansă să-și recupereze dosarele fără a coopera. Pentru ca victima să înceapă procesul de decriptare, trebuie să trimită un e-mail la una dintre cele două adrese. Acestea sunt găzduite pe „engineer.com” și, respectiv, pe „consultant.com”.

La scurt timp după, cineva de la UmbreCrypt va răspunde cu informații de plată. Notificarea de ransomware nu îi spune victimei cât va plăti, deși îi spune victimei că taxa va fi înmulțită dacă nu plătește în 72 de ore.

În mod hilar, instrucțiunile oferite de UmbreCrypt îi spun victimei să nu le e-mail cu „amenințări și grosolănie”. Ele oferă chiar și un exemplu de format de e-mail pentru ca victimele să-l folosească.

HydraCrypt diferă ușor în modul în care este nota de răscumpărare departe mai amenințătoare.

HydroCryptRansom

Ei spun că dacă victima nu plătește în 72 de ore, va emite o sancțiune. Aceasta poate fi o creștere a răscumpărării sau distrugerea cheii private, făcând astfel imposibilă decriptarea fișierelor.

Ei amenință și cu eliberați informațiile private Iată cât ar putea valora identitatea ta pe Dark WebEste incomod să te consideri o marfă, dar toate detaliile tale personale, de la nume și adresă până la detaliile contului bancar, valorează ceva pentru criminalii online. Cât valorezi? Citeste mai mult , fișiere și documente ale neplătitorilor de pe Dark web. Acest lucru îl face puțin rar în rândul ransomware-urilor, deoarece are o consecință mult mai gravă decât a nu vă recupera fișierele.

Cum să vă recuperați fișierele

După cum am menționat mai devreme, Fabian Wosar de la Emisoft a reușit să rupă criptarea utilizată și a lansat un instrument pentru a vă recupera fișierele, numit DecriptațiHydraCrypt.

Pentru ca acesta să funcționeze, trebuie să aveți două fișiere la îndemână. Acestea ar trebui să fie orice fișier criptat, plus o copie necriptată a acelui fișier. Dacă ai un document pe hard disk pe care l-ai făcut o copie de rezervă în Google Drive sau în contul tău de e-mail, folosește-l.

Alternativ, dacă nu aveți acest lucru, căutați un fișier PNG criptat și utilizați orice alt fișier PNG aleatoriu pe care fie îl creați singur, fie îl descărcați de pe Internet.

Apoi, trageți și plasați-le în aplicația de decriptare. Apoi va intra în acțiune și va începe să încerce să determine cheia privată.

DecrypterDragDrop

Ar trebui să fiți avertizat că acest lucru nu va fi instantaneu. Decriptorul va face niște calcule destul de complicate pentru a vă afla cheia de decriptare, iar acest proces ar putea dura câteva zile, în funcție de CPU.

Odată ce a fost elaborată cheia de decriptare, se va deschide o fereastră și vă va permite să selectați folderele al căror conținut doriți să-l decriptați. Acest lucru funcționează recursiv, așa că dacă aveți un folder într-un folder, va trebui doar să selectați folderul rădăcină.

Merită remarcat faptul că HydraCrypt și UmbreCrypt au un defect, în care ultimii 15 octeți ai fiecărui fișier criptat sunt deteriorați iremediabil.

Biți

Acest lucru nu ar trebui să vă deranjeze prea mult, deoarece acești octeți sunt utilizați de obicei pentru umplutură sau metadate neesențiale. Puf, practic. Dar dacă nu vă puteți deschide fișierele decriptate, încercați să le deschideți cu un instrument de restaurare a fișierelor.

Fără noroc?

Există șansa ca acest lucru să nu funcționeze pentru tine. Asta ar putea fi din mai multe motive. Cel mai probabil este că încercați să îl rulați pe un program ransomware care nu este HydraCrypt, CrypBoss sau UmbraCrypt.

O altă posibilitate este că producătorii malware-ului l-au modificat pentru a utiliza un alt algoritm de criptare.

În acest moment, aveți câteva opțiuni.

Cel mai rapid și mai promițător pariu este să plătiți răscumpărarea. Acest lucru variază destul de mult, dar, în general, se situează în jurul valorii de 300 USD și vă vor vedea fișierele restaurate în câteva ore.

RansomBitcoin

Este de la sine înțeles că aveți de-a face cu criminali organizați, deci nu există garanții de fapt vor decripta fișierele și, dacă nu ești mulțumit, nu ai nicio șansă să obții un restituire.

De asemenea, ar trebui să luați în considerare argumentul că plata acestor răscumpărări perpetuează răspândirea ransomware și continuă să facă profitabil din punct de vedere financiar pentru dezvoltatori să scrie ransomware programe.

A doua opțiune este să așteptați în speranța că cineva va lansa un instrument de decriptare pentru malware-ul de care ați fost afectat. Acest sa întâmplat cu CryptoLocker CryptoLocker este mort: iată cum vă puteți recupera fișierele! Citeste mai mult , când cheile private au fost scurse de la un server de comandă și control. Aici, programul de decriptare a fost rezultatul scurgerii codului sursă.

Nu există însă nicio garanție pentru asta. Destul de des, nu există o soluție tehnologică pentru a vă recupera fișierele fără a plăti o răscumpărare.

Prevenirea este mai bună decât vindecarea

Desigur, cel mai eficient mod de a trata programele ransomware este să vă asigurați că nu sunteți infectat. Luând câteva măsuri de precauție simple, cum ar fi rularea unui antivirus complet actualizat și nedescărcarea fișierelor din locuri suspecte, vă puteți reduce șansele de a vă infecta.

Ai fost afectat de HydraCrypt sau UmbreCrypt? Ați reușit să vă recuperați fișierele? Anunță-mă în comentariile de mai jos.

Credite de imagine: Folosind un laptop, degetul pe touchpad și tastatură (Scyther5 prin ShutterStock), Bitcoin pe tastatură (AztekPhoto prin ShutterStock)

Matthew Hughes este un dezvoltator de software și scriitor din Liverpool, Anglia. Rareori se găsește fără o ceașcă de cafea neagră tare în mână și îi adoră absolut Macbook Pro și aparatul foto. Puteți citi blogul lui la http://www.matthewhughes.co.uk și urmăriți-l pe Twitter la @matthewhughes.