Cum Pentru a restaura fișierele pierdute din CrypBoss Ransomware
Există vesti bune pentru oricine este afectat de răscumpărarea CrypBoss, HydraCrypt și UmbreCrypt. Fabian Wosar, cercetător la Emsisoft, a reușit să le inverseze, iar în acest proces a lansat un program care este capabil să decripteze fișierele care altfel ar fi fost pierdute.
Aceste trei programe malware sunt foarte asemănătoare. Iată ce trebuie să știți despre ele și cum vă puteți aduce dosarele înapoi.
Întâlnirea familiei CrypBoss
Crearea de malware a reprezentat întotdeauna o industrie cottage de miliarde de dolari. Dezvoltatorii de software cu intenție în necunoștință de cauză scriu programe noi de malware și le licitau criminali organizați în cele mai întunecate zone ale întunericului Web Journey In The Web Ascuns: Un ghid pentru cercetători noi Călătorie în Webul ascuns: Un ghid pentru cercetători noi Acest manual va lua pe un tur prin numeroasele nivele ale rețelei web: baze de date și informații disponibile în reviste academice. În sfârșit, ajungem la porțile lui Tor. Citeste mai mult .
Acești infractori îi distribuie apoi pe scară largă, procesând infectarea a mii de mașini și făcând o sumă nemaipomenită de bani. Ce motivează oamenii să hackească computerele? Sugestie: bani Ce motivează oamenii să hackească calculatoarele? Sugestie: Criminalii de bani pot folosi tehnologia pentru a face bani. Stii asta. Dar ați fi surprinși cât de ingenioși pot fi, de la hacking și revanzarea serverelor pentru a le reconfigura ca mineri Bitcoin lucrativi. Citeste mai mult .
Se pare că se întâmplă aici.
Atât HydraCrypt cât și UmbreCrypt sunt variante ușor modificate ale unui alt program malware numit CrypBoss. Pe lângă faptul că au o rudă comună, ei sunt, de asemenea, distribuite prin intermediul programului Angler Exploit Kit, care utilizează metoda de descărcări de tip drive-by pentru a infecta victimele. Dann Albright a scris extensiv despre kiturile de exploatare. Acesta este modul în care vă hack: Lumea murdară a seturilor de exploatare Acesta este modul în care vă hărțuiesc: Lumea murdară a seturilor de exploatații. Comuniștii pot folosi suite de software pentru a exploata vulnerabilitățile și pentru a crea programe malware. Dar care sunt aceste kituri de exploatare? De unde vin ei? Și cum pot fi opriți? Citiți mai multe în trecut.
Au fost multe cercetări în familia CrypBoss de către unele dintre cele mai mari nume din domeniul securității informatice. Codul sursă pentru CrypBoss a fost scurs anul trecut pe PasteBin și a fost aproape imediat devorat de comunitatea de securitate. La sfârșitul săptămânii trecute, McAfee a publicat una dintre cele mai bune analize ale HydraCrypt, care explică modul în care funcționează la cele mai joase niveluri.
Diferențele dintre HydraCrypt și UmbreCrypt
În ceea ce privește funcționalitatea lor esențială, HydraCrypt și UmbreCrypt fac același lucru. Când infectează pentru prima dată un sistem, încep să cripteze fișiere pe baza extensiei lor de fișiere, folosind o formă puternică de criptare asimetrică.
Ei au, de asemenea, alte comportamente non-core care sunt destul de comune în cadrul software-ului ransomware.
De exemplu, ambii permit atacatorului să încarce și să execute software suplimentar pe mașina infectată. Ambele șterge copiile umbră ale fișierelor criptate, făcându-le imposibil să le restaurezi.
Poate că cea mai mare diferență dintre cele două programe este modul în care acestea “răscumpărare” fișierele înapoi.
UmbreCrypt este foarte important. Spune victimelor că au fost infectate și nu există șanse să-și primească dosarele fără să coopereze. Pentru ca victima să înceapă procesul de decriptare, trebuie să trimită un e-mail la una din cele două adrese. Acestea sunt găzduite “engineer.com” și “consultant.com” respectiv.
La scurt timp după aceea, cineva de la UmbreCrypt va răspunde cu informații de plată. Notificarea de răscumpărare nu le spune victimei cât de mult vor plăti, deși le spune victimei că taxa se va înmulți dacă nu plătesc în decurs de 72 de ore.
În mod amăgitor, instrucțiunile furnizate de UmbreCrypt spun victimei că nu le trimite la e-mail “amenințări și rudenesc”. Ele oferă chiar și un eșantion de e-mail format pentru victime de utilizat.
HydraCrypt diferă ușor în ceea ce privește nota de răscumpărare departe mai periculoase.
Ei spun că dacă victima nu va plăti în 72 de ore, vor emite o sancțiune. Aceasta poate fi o creștere a răscumpărării sau distrugerea cheii private, ceea ce face imposibilă decriptarea fișierelor.
Ei, de asemenea, amenință să elibereze informațiile private Iată cât de multă identitate ar putea să merite pe Webul întunecat Iată cât de multă identitate ar putea să merite pe Webul întunecat Este inconfortabil să te gândești la tine ca pe o marfă, dar toate detaliile tale personale, de la numele și adresa la detalii ale contului bancar, merită ceva pentru infractorii online. Cât de mult merităm? Citește mai mult, fișierele și documentele celor care nu plătesc pe site-ul Dark. Acest lucru face un pic de raritate printre ransomware, deoarece are o consecință care este mult mai rău decât să nu obțineți fișierele înapoi.
Cum să obțineți fișierele înapoi
Așa cum am menționat mai devreme, Fabian Wosar de la Emisoft a reușit să spargă criptarea utilizată și a lansat un instrument pentru a-ți primi fișierele înapoi, numit DecryptHydraCrypt.
Pentru ca aceasta să funcționeze, trebuie să aveți două fișiere la îndemână. Acestea ar trebui să fie orice fișier criptat, plus o copie necriptată a acelui fișier. Dacă aveți un document pe hard-disk pe care l-ați copiat în contul Google Drive sau în contul dvs. de e-mail, utilizați acest lucru.
Alternativ, dacă nu aveți acest lucru, căutați doar un fișier PNG criptat și utilizați orice alt fișier PNG aleator pe care îl creați sau descărcați de pe Internet.
Apoi, trageți-le și plasați-le în aplicația de decriptare. Apoi va da naștere la acțiune și începe să încerce să determine cheia privată.
Ar trebui să fiți avertizat că acest lucru nu va fi instantaneu. Decryptorul va face niște matematici destul de complicate pentru a elabora cheia de decriptare, iar acest proces ar putea dura câteva zile, în funcție de CPU-ul dvs..
Odată ce a fost rezolvată cheia de decriptare, va deschide o fereastră și vă va permite să selectați folderele a căror conținut doriți să le decriptați. Acest lucru funcționează recursiv, deci dacă aveți un dosar într-un dosar, va trebui doar să selectați directorul rădăcină.
Merită remarcat faptul că HydraCrypt și UmbreCrypt au un defect, în care ultimii 15 octeți din fiecare fișier criptat sunt deteriorați iremediabil.
Acest lucru nu ar trebui să vă deranjeze prea mult, deoarece acești octeți sunt folosiți în mod obișnuit pentru completarea sau metadatele non-esențiale. Fluff, practic. Dar dacă nu puteți deschide fișierele decriptate, încercați să le deschideți cu un instrument de restaurare a fișierelor.
Nu e noroc?
Există o șansă că acest lucru nu va funcționa pentru dvs. Aceasta ar putea fi din mai multe motive. Cel mai probabil este că încercați să îl rulați pe un program ransomware care nu este HydraCrypt, CrypBoss sau UmbraCrypt.
O altă posibilitate este faptul că producătorii de programe malware l-au modificat pentru a folosi un alt algoritm de criptare.
În acest moment, aveți câteva opțiuni.
Cea mai rapidă și cea mai promițătoare pariu este să plătești răscumpărarea. Acest lucru este destul de diferit, dar, în general, se situează în jurul valorii de 300 $, iar fișierele dvs. vor fi restaurate în câteva ore.
Ar trebui să se înțeleagă că aveți de-a face cu criminali organizați, deci nu există garanții că vor decripta fișierele și dacă nu sunteți fericiți, nu aveți nici o șansă de a obține o rambursare.
De asemenea, trebuie să luați în considerare argumentul că plata acestor răscumpărări perpetuează răspândirea răscumpărării și continuă să o facă din punct de vedere financiar profitabil pentru dezvoltatori să scrie programe de rromi.
A doua opțiune este să așteptați în speranța că cineva va lansa un instrument de decriptare pentru malware-ul cu care ați fost afectat. Acest lucru sa întâmplat cu CryptoLocker CryptoLocker este mort: Iată cum puteți obține fișierele înapoi! CryptoLocker este mort: Iată cum puteți obține fișierele înapoi! Citiți mai multe, când cheile private au fost scoase de pe un server de comandă și control. Aici, programul de decriptare a fost rezultatul unui cod sursă scurs.
Nu există nicio garanție pentru acest lucru. Destul de des, nu există nici o soluție tehnologică pentru a vă întoarce fișierele fără să plătiți o răscumpărare.
Prevenirea este mai bună decât un tratament
Desigur, modul cel mai eficient de a face față programelor de rromi este să vă asigurați că nu sunteți în primul rând infectați. Dacă luați câteva măsuri de precauție simple, cum ar fi rularea unui antivirus complet actualizat și nu descărcarea fișierelor din locurile suspecte, puteți atenua șansele de infectare.
Ai fost afectat de HydraCrypt sau UmbreCrypt? Ai reușit să-ți duci fișierele înapoi? Anunță-mă în comentariile de mai jos.
Creditele de imagine: utilizând un laptop, degetul pe touchpad și tastatură (Scyther5 prin ShutterStock), Bitcoin on Keyboard (AztekPhoto prin ShutterStock)
Explorați mai multe despre: Ransomware.