Phenquestions
Криптозащита программы-вымогатели сегодня доминируют в обсуждениях. Жертвы, ставшие жертвами этого варианта программы-вымогателя, в большом количестве обращаются на различные форумы в поисках поддержки экспертов. Программа, рассматриваемая как тип вымогателя, подражает поведению CryptoLocker, но не может рассматриваться как полная производная от него, потому что код, который он запускает, совершенно другой. Более того, ущерб, который он наносит, потенциально огромен.
CryptoDefense Ransomware
Происхождение интернет-злоумышленника можно проследить по яростному соревнованию между кибер-бандами в конце февраля 2014 года. Это привело к разработке потенциально опасного варианта этой программы-вымогателя, способной шифровать файлы человека и заставлять их платить за восстановление файлов.
CryptoDefense, как это известно, нацелен на текст, изображения, видео, файлы PDF и MS Office. Когда конечный пользователь открывает зараженное вложение, программа начинает шифрование своих целевых файлов с помощью надежного ключа RSA-2048, который трудно отменить. После того, как файлы зашифрованы, вредоносная программа помещает файлы с требованием выкупа в каждую папку, содержащую зашифрованные файлы.
При открытии файлов жертва находит страницу CAPTCHA. Если файлы слишком важны для него и он хочет их вернуть, он соглашается на компромисс. Далее он должен правильно заполнить CAPTCHA, и данные будут отправлены на страницу оплаты. Цена выкупа заранее определена и удваивается, если жертва не выполняет инструкции разработчика в течение определенного периода времени в четыре дня.
Закрытый ключ, необходимый для расшифровки контента, доступен разработчику вредоносной программы и отправляется обратно на сервер злоумышленника только после того, как желаемая сумма будет доставлена в качестве выкупа. По всей видимости, злоумышленники создали «скрытый» веб-сайт для приема платежей. После того, как удаленный сервер подтвердит получателя закрытого ключа дешифрования, снимок экрана скомпрометированного рабочего стола загружается в удаленное место. CryptoDefense позволяет заплатить выкуп, отправив биткойны на адрес, указанный на странице службы дешифрования вредоносного ПО.
Хотя вся схема выглядит хорошо проработанной, вымогатель CryptoDefense, когда он впервые появился, действительно имел несколько ошибок. Он оставил ключ прямо на компьютере жертвы! : D
Это, конечно, требует технических навыков, которыми рядовой пользователь может не обладать, чтобы понять ключ. Недостаток был впервые замечен Фабианом Восаром из Emsisoft и привел к созданию Дешифратор инструмент, который потенциально может получить ключ и расшифровать ваши файлы.
Одним из ключевых различий между CryptoDefense и CryptoLocker является тот факт, что CryptoLocker генерирует свою пару ключей RSA на сервере управления и контроля. CryptoDefense, с другой стороны, использует Windows CryptoAPI для генерации пары ключей в системе пользователя. Это не имело бы большого значения, если бы не некоторые малоизвестные и плохо документированные причуды Windows CryptoAPI. Одна из этих причуд заключается в том, что если вы не будете осторожны, он создаст локальные копии ключей RSA, с которыми работает ваша программа. Тот, кто создал CryptoDefense, явно не знал об этом поведении, и поэтому, без их ведома, ключ для разблокировки файлов зараженного пользователя фактически хранился в системе пользователя, сказал Фабиан в сообщении блога, озаглавленном История о незащищенных ключах программ-вымогателей и корыстных блоггерах.
Метод свидетельствовал об успехе и помогал людям, пока Symantec решил полностью разоблачить недостаток и рассказать о нем в своем сообщении в блоге. Действия Symantec побудили разработчика вредоносного ПО обновить CryptoDefense, чтобы он больше не оставлял ключ.
Исследователи Symantec писали:
Из-за плохой реализации злоумышленниками криптографических функций они буквально оставили своим заложникам ключ к побегу ».
На это хакеры ответили:
Спасибо Symantec («Спасибо» на русском языке). По словам KnowBe4, эта ошибка исправлена.
В настоящее время единственный способ исправить это - убедиться, что у вас есть последняя резервная копия файлов, которые действительно можно восстановить. Протрите и восстановите машину с нуля, а также восстановите файлы.
Этот пост на BleepingComputers станет отличным чтением, если вы хотите узнать больше об этой программе-вымогателе и о борьбе с ситуацией заранее. К сожалению, методы, перечисленные в его «Оглавлении», работают только в 50% случаев заражения. Тем не менее, это дает хорошие шансы вернуть ваши файлы.
