Злонамерних програма

ЦриптоДефенсе Рансомваре и како је Симантец помогао да исправи своју ману!

ЦриптоДефенсе Рансомваре и како је Симантец помогао да исправи своју ману!

ЦриптоДефенсе рансомваре доминира дискусијама ових дана. Жртве које постају пленом ове варијанте Рансомваре-а обраћале су се великом броју форумима, тражећи подршку од стручњака. Програм који се сматра врстом рансомваре-а, понаша се као понашатељ ЦриптоЛоцкер, али се не може сматрати њеним потпуним дериватом, јер је код који он покреће потпуно другачији. Штавише, штета коју проузрокује је потенцијално велика.

ЦриптоДефенсе Рансомваре

Порекло Интернет неваљалаца може се пратити из жестоке конкуренције одржане између сајбер-банди крајем фебруара 2014. То је довело до развоја потенцијално штетне верзије овог програма рансомваре, способног да кодира датотеке особе и приморава их да изврше плаћање за опоравак датотека.

ЦриптоДефенсе, као што је познато, циља текст, слику, видео, ПДФ и МС Оффице датотеке. Када крајњи корисник отвори заражени прилог, програм започиње шифровање својих циљних датотека јаким РСА-2048 кључем који је тешко поништити. Једном када су датотеке шифроване, злонамерни софтвер издаје датотеке са захтевом за откупнином у сваку фасциклу која садржи шифроване датотеке.

Отварајући датотеке, жртва проналази ЦАПТЦХА страницу. Ако су му датотеке превише важне и ако их жели назад, прихвата компромис. Настављајући даље, он мора тачно да попуни ЦАПТЦХА и подаци се шаљу на страницу за плаћање. Цена откупнине је унапред одређена, удвостручена ако се жртва не придржава упутстава програмера у одређеном временском периоду од четири дана.

Приватни кључ потребан за дешифровање садржаја доступан је код програмера злонамерног софтвера и враћа се серверу нападача само када се жељени износ у потпуности испоручи као откупнина. Изгледа да су нападачи створили „скривену“ веб локацију за примање уплата. Након што удаљени сервер потврди примаоца приватног кључа за дешифровање, снимак екрана угрожене радне површине отпрема се на удаљену локацију. ЦриптоДефенсе вам омогућава да платите откупнину слањем Битцоин-а на адресу приказану на страници услуге дешифровања малвера.

Иако се чини да је читава шема ствари добро разрађена, рансомваре ЦриптоДефенсе када се први пут појавио имао је неколико грешака. Оставио је кључ тачно на самом рачунару жртве! : Д

То, наравно, захтева техничке вештине које просечан корисник можда не би имао да би схватио кључ. Ману је први приметио Фабиан Восар из Емсисофт и довело до стварања а Децриптер алат који може потенцијално да преузме кључ и дешифрује ваше датотеке.

Једна од кључних разлика између ЦриптоДефенсе и ЦриптоЛоцкер је чињеница да ЦриптоЛоцкер генерише свој РСА пар кључева на командном и контролном серверу. С друге стране, ЦриптоДефенсе користи Виндовс ЦриптоАПИ за генерисање пара кључева на корисниковом систему. Сада ово не би имало превише разлике да није било неких мало познатих и слабо документованих хирова Виндовс ЦриптоАПИ. Једна од тих хирова је да ће, ако не будете пажљиви, створити локалне копије РСА кључева са којима ваш програм ради. Ко год је створио ЦриптоДефенсе очигледно није био свестан овог понашања, па је, без њиховог знања, кључ за откључавање датотека зараженог корисника у ствари био на корисниковом систему, рекао је Фабиан у блогу под насловом Прича о несигурним рансомваре кључевима и самопослужним блогерима.

Метода је сведочила о успеху и помагала људима, све до Симантец је одлучио да у потпуности разоткрије недостатак и просипа пасуљ преко свог блога. Чин Симантеца подстакао је програмера малвера да ажурира ЦриптоДефенсе, тако да више не оставља кључ иза себе.

Истраживачи Симантеца су написали:

Због лоше имплементације криптографских функционалности нападача, они су, дословно, оставили таоцима кључ за бег ”.

На то су хакери одговорили:

Спасиба Симантец („Хвала“ на руском). Та грешка је исправљена, каже КновБе4.

Тренутно је једини начин да се то поправи тако што ћете бити сигурни да имате недавну резервну копију датотека које заправо могу да се врате. Обришите и поново направите машину и вратите датотеке.

Овај пост на БлеепингЦомпутерс чини изврсно штиво ако желите да сазнате више о овом Рансомваре-у и борби против ситуације унапред. Нажалост, методе наведене у његовом „Садржају“ делују само на 50% случајева заразе. Ипак, пружа добре шансе за враћање датотека.

Како појачати ФПС у Линуку?
ФПС је скраћеница за Фрејмова у секунди. Задатак ФПС-а је да мери брзину кадрова у репродукцијама видео записа или играчким перформансама. Једноставни...
Најпопуларније лабораторијске игре Оцулус Апп
Ако сте власник Оцулус слушалица, онда морате бити упознати са бочним учитавањем. Бочно учитавање је поступак инсталирања не-продавничког садржаја на ...
10 најбољих игара за играње на Убунту-у
Виндовс платформа је била једна од доминантних платформи за играње игара због огромног процента игара које се данас развијају да би подржале Виндовс. ...