Reklama

Máme skvelé správy pre každého, koho ransomvér CrypBoss, HydraCrypt a UmbreCrypt zasiahol. Fabian Wosar, výskumník v Emsisoft, má podarilo sa ich spätným inžinierstvom, av tomto procese vydala program, ktorý je schopný dešifrovať súbory, ktoré by sa inak stratili.

Tieto tri malvérové ​​programy sú veľmi podobné. Tu je to, čo o nich potrebujete vedieť a ako môžete získať svoje súbory späť.

Stretnutie s rodinou CrypBoss

Tvorba škodlivého softvéru bola vždy domácou výrobou v hodnote miliardy dolárov. Vývojári softvéru so zlým úmyslom píšu nové malvérové ​​programy a dražia ich organizovaným zločincom v tých najšpinavších temný web Cesta do skrytého webu: Sprievodca pre nových výskumníkovTáto príručka vás zavedie na prehliadku mnohých úrovní hlbokého webu: databázy a informácie dostupné v akademických časopisoch. Nakoniec dorazíme k bránam Tor. Čítaj viac .

DarkWeb

Títo zločinci ich potom distribuujú široko ďaleko, pričom infikujú tisíce strojov a vytvárajú bezbožné množstvo peňazí Čo motivuje ľudí k hackovaniu počítačov? Tip: Peniaze

Zločinci môžu využívať technológie na zarábanie peňazí. Ty to vieš. Boli by ste však prekvapení, akí dômyselní dokážu byť, od hackovania a ďalšieho predaja serverov až po ich prekonfigurovanie ako lukratívnych baníkov bitcoínov. Čítaj viac .

Zdá sa, že to sa tu stalo.

Obaja HydraCrypt a UmbreCrypt sú mierne upravené varianty iného škodlivého programu s názvom CrypBoss. Okrem toho, že majú spoločný pôvod, sú tiež distribuované prostredníctvom súpravu Angler Exploit Kit, ktorá na infikovanie obetí využíva metódu drive-by downloads. Dann Albright má rozsiahlo napísané o exploit kitoch Takto vás hacknú: Temný svet exploitných súpravPodvodníci môžu využívať softvérové ​​balíky na zneužívanie zraniteľností a vytváranie škodlivého softvéru. Ale čo sú tieto exploit kity? Odkiaľ prišli? A ako ich možno zastaviť? Čítaj viac v minulosti.

Niektoré z najväčších mien vo výskume počítačovej bezpečnosti vykonali veľa výskumov o rodine CrypBoss. Zdrojový kód CrypBoss unikol minulý rok na PasteBin a takmer okamžite ho zhltla bezpečnostná komunita. Koncom minulého týždňa zverejnil McAfee jedna z najlepších analýz HydraCrypt, ktorý vysvetlil, ako to funguje na najnižších úrovniach.

Rozdiely medzi HydraCrypt a UmbreCrypt

Pokiaľ ide o ich základné funkcie, HydraCrypt a UmbreCrypt robia to isté. Keď prvýkrát infikujú systém, začnú šifrovať súbory na základe ich prípony súboru pomocou silnej formy asymetrického šifrovania.

rozšírenia

Majú tiež iné vedľajšie správanie, ktoré je v softvéri ransomware celkom bežné.

Obe napríklad umožňujú útočníkovi nahrať a spustiť ďalší softvér do infikovaného počítača. Obaja odstránia tieňové kópie zašifrovaných súborov, čím znemožňujú ich obnovenie.

Snáď najväčším rozdielom medzi týmito dvoma programami je spôsob, akým „vykupujú“ súbory späť.

UmbreCrypt je veľmi vecný. Povie obetiam, že boli infikované, a nie je šanca, že dostanú svoje súbory späť bez spolupráce. Aby obeť začala proces dešifrovania, musí poslať e-mail na jednu z dvoch adries. Tieto sú umiestnené na „engineer.com“ a „consultant.com“.

Krátko nato niekto z UmbreCrypt odpovie s informáciami o platbe. Oznámenie o ransomvéri nehovorí obeti, koľko zaplatí, hoci obeti hovorí, že poplatok sa znásobí, ak nezaplatí do 72 hodín.

Je zábavné, že pokyny poskytnuté UmbreCryptom hovoria obeti, aby im neposlala e-mail s „hrozbami a hrubosťou“. Dokonca poskytujú obetiam vzorový e-mailový formát.

HydraCrypt sa mierne líši v spôsobe, akým je ich výkupné ďaleko hrozivejšie.

HydroCryptRansom

Hovoria, že ak obeť nezaplatí do 72 hodín, vydajú sankciu. Môže to byť zvýšenie výkupného alebo zničenie súkromného kľúča, čím sa znemožní dešifrovanie súborov.

Tiež sa vyhrážajú zverejniť súkromné ​​informácie Tu sa dozviete, koľko by mohla stáť vaša identita na temnom webeJe nepríjemné myslieť si, že ste tovar, ale všetky vaše osobné údaje, od mena a adresy až po údaje o bankovom účte, majú pre online zločincov nejakú hodnotu. koľko stojíš? Čítaj viac , súbory a dokumenty neplatičov na Dark webe. To z neho robí trochu raritu medzi ransomware, pretože má oveľa horší dôsledok, ako keby ste nedostali svoje súbory späť.

Ako získať späť svoje súbory

Ako sme už spomenuli, Fabian Wosar od Emisoftu dokázal prelomiť používané šifrovanie a vydal nástroj na získanie vašich súborov späť, tzv. DecryptHydraCrypt.

Aby to fungovalo, musíte mať po ruke dva súbory. Mal by to byť akýkoľvek zašifrovaný súbor plus nezašifrovaná kópia tohto súboru. Ak máte na pevnom disku dokument, ktorý ste si zálohovali na Disk Google alebo na svoj e-mailový účet, použite toto.

Prípadne, ak to nemáte, jednoducho vyhľadajte zašifrovaný súbor PNG a použite akýkoľvek iný náhodný súbor PNG, ktorý si sami vytvoríte alebo stiahnete z internetu.

Potom ich presuňte myšou do aplikácie na dešifrovanie. Potom sa spustí a začne sa pokúšať určiť súkromný kľúč.

DecrypterDragDrop

Mali by ste byť upozornení, že to nebude okamžité. Dešifrovač bude robiť dosť komplikovanú matematiku, aby zistil váš dešifrovací kľúč a tento proces môže potenciálne trvať niekoľko dní, v závislosti od vášho CPU.

Po vyriešení dešifrovacieho kľúča sa otvorí okno a umožní vám vybrať priečinky, ktorých obsah chcete dešifrovať. Funguje to rekurzívne, takže ak máte priečinok v priečinku, budete musieť vybrať iba koreňový priečinok.

Stojí za zmienku, že HydraCrypt a UmbreCrypt majú chybu, v ktorej je posledných 15 bajtov každého zašifrovaného súboru nenávratne poškodených.

Bity

Nemalo by vás to príliš znepokojovať, pretože tieto bajty sa zvyčajne používajú na výplň alebo nepodstatné metadáta. Fluff, v podstate. Ak však nemôžete otvoriť dešifrované súbory, skúste ich otvoriť pomocou nástroja na obnovenie súborov.

Smola?

Je tu šanca, že to pre vás nebude fungovať. To môže byť z viacerých dôvodov. Najpravdepodobnejšie je, že sa ho pokúšate spustiť na ransomvérovom programe, ktorý nie je HydraCrypt, CrypBoss alebo UmbraCrypt.

Ďalšou možnosťou je, že tvorcovia škodlivého softvéru ho upravili tak, aby používal iný šifrovací algoritmus.

V tomto bode máte niekoľko možností.

Najrýchlejšou a najsľubnejšou stávkou je zaplatiť výkupné. To sa dosť líši, ale vo všeobecnosti sa pohybuje okolo hranice 300 USD a vaše súbory budú obnovené za niekoľko hodín.

RansomBitcoin

Malo by byť samozrejmé, že máte do činenia s organizovanými zločincami, takže neexistujú žiadne záruky v skutočnosti dešifrujú súbory, a ak nie ste spokojní, nemáte šancu získať a vrátenie peňazí.

Mali by ste tiež zvážiť argument, že zaplatenie týchto výkupných udržiava šírenie ransomware a naďalej je pre vývojárov finančne lukratívne písať ransomvér programy.

Druhou možnosťou je čakať v nádeji, že niekto vydá dešifrovací nástroj pre malvér, ktorým ste boli zasiahnutí. Toto stalo s CryptoLockerom CryptoLocker je mŕtvy: Tu je návod, ako môžete získať svoje súbory späť! Čítaj viac , keď došlo k úniku súkromných kľúčov z príkazového a riadiaceho servera. Tu bol dešifrovací program výsledkom úniku zdrojového kódu.

Na toto však neexistuje žiadna záruka. Pomerne často neexistuje žiadne technologické riešenie na získanie súborov späť bez zaplatenia výkupného.

Prevencia je lepšia ako liečba

Samozrejme, najúčinnejším spôsobom, ako sa vysporiadať s ransomvérovými programami, je v prvom rade zabezpečiť, aby ste sa nenakazili. Prijatím jednoduchých opatrení, ako je napríklad spustenie plne aktualizovaného antivírusu a nesťahovanie súborov z podozrivých miest, môžete znížiť svoje šance na infekciu.

Ovplyvnil vás HydraCrypt alebo UmbreCrypt? Podarilo sa vám získať späť svoje súbory? Dajte mi vedieť v komentároch nižšie.

Poďakovanie za obrázky: Používanie notebooku, prst na touchpade a klávesnici (Scyther5 cez ShutterStock), Bitcoin na klávesnici (AztekPhoto cez ShutterStock)

Matthew Hughes je vývojár softvéru a spisovateľ z Liverpoolu v Anglicku. Málokedy ho nájdeme bez šálky silnej čiernej kávy v ruke a svoj Macbook Pro a fotoaparát úplne zbožňuje. Jeho blog si môžete prečítať na http://www.matthewhughes.co.uk a sledujte ho na twitteri na @matthewhughes.