Hirdetés

Remek hírekkel szolgálunk mindenki számára, akit a CrypBoss, a HydraCrypt és az UmbreCrypt ransomware érint. Fabian Wosar, az Emsisoft kutatója, rendelkezik sikerült visszafejteni őket, és közben kiadott egy programot, amely képes visszafejteni az egyébként elveszett fájlokat.

Ez a három rosszindulatú program nagyon hasonló. Íme, mit kell tudni róluk, és hogyan szerezheti vissza fájljait.

Találkozás a CrypBoss családdal

A rosszindulatú programok létrehozása mindig is egy milliárd dolláros háziipar volt. A rossz szándékú szoftverfejlesztők új rosszindulatú programokat írnak, és elárverezzék azokat szervezett bűnözőknek a legrosszabb vidékeken. a sötét web Utazás a rejtett webre: Útmutató új kutatóknakEz a kézikönyv végigvezeti Önt a mélyweb számos szintjén: adatbázisokon és tudományos folyóiratokban elérhető információkon. Végül megérkezünk Tor kapujához. Olvass tovább .

DarkWeb

Ezek a bűnözők aztán széles körben elterjesztik őket, miközben gépek ezreit fertőzik meg, és készítenek egy istentelen mennyiségű pénz

instagram viewer
Mi motiválja az embereket a számítógépek feltörésére? Tipp: PénzA bűnözők használhatják a technológiát, hogy pénzt keressenek. Te tudod ezt. De meg fog lepődni, hogy milyen zseniálisak tudnak lenni, a szerverek feltörésétől és viszonteladásától egészen a jövedelmező Bitcoin-bányászokká való átkonfigurálásig. Olvass tovább .

Úgy tűnik, itt ez történt.

Mindkét HydraCrypt és UmbreCrypt egy másik, CrypBoss nevű rosszindulatú program enyhén módosított változatai. Amellett, hogy közös felmenőkkel rendelkeznek, ezen keresztül is terjesztik őket az Angler Exploit Kit, amely a drive-by letöltés módszerét használja az áldozatok megfertőzésére. Dann Albrightnak van sokat írtak az exploit kitekről Így hackelnek meg téged: Az Exploit Kits homályos világaA csalók szoftvercsomagokat használhatnak a sebezhetőségek kihasználására és rosszindulatú programok létrehozására. De mik is ezek az exploit kitek? Honnan jöttetek? És hogyan lehet őket megállítani? Olvass tovább a múltban.

Rengeteg kutatást végeztek a CrypBoss családdal kapcsolatban a számítógép-biztonsági kutatások legnagyobb nevei. A CrypBoss forráskódja tavaly kiszivárgott a PasteBin-en, és szinte azonnal felfalta a biztonsági közösség. A múlt hét végén megjelent a McAfee a HydraCrypt egyik legjobb elemzése, amely elmagyarázta, hogyan működik a legalacsonyabb szintjein.

A HydraCrypt és az UmbreCrypt közötti különbségek

Az alapvető funkciókat tekintve a HydraCrypt és az UmbreCrypt ugyanazt csinálja. Amikor először megfertőznek egy rendszert, elkezdik titkosítani a fájlokat a fájlkiterjesztésük alapján, az aszimmetrikus titkosítás erős formájával.

kiterjesztések

Vannak más, nem alapvető viselkedéseik is, amelyek meglehetősen gyakoriak a ransomware szoftverekben.

Például mindkettő lehetővé teszi a támadó számára, hogy további szoftvereket töltsön fel és futtasson a fertőzött gépre. Mindkettő törli a titkosított fájlok árnyékmásolatait, így lehetetlenné teszi a visszaállításukat.

Talán a legnagyobb különbség a két program között az, ahogyan „visszaváltják” a fájlokat.

Az UmbreCrypt nagyon tárgyszerű. Közli az áldozatokkal, hogy megfertőződtek, és nincs esély arra, hogy együttműködés nélkül visszakapják fájljaikat. Ahhoz, hogy az áldozat elkezdhesse a visszafejtési folyamatot, e-mailt kell küldenie a két cím egyikére. Ezek az „engineer.com” és a „consultant.com” webhelyen találhatók.

Röviddel ezután valaki az UmbreCrypttől válaszolni fog fizetési információkkal. A ransomware értesítés nem közli az áldozattal, hogy mennyit fognak fizetni, bár azt jelzi, hogy a díj megsokszorozódik, ha 72 órán belül nem fizet.

Vicces, hogy az UmbreCrypt utasításai azt mondják az áldozatnak, hogy ne küldjön neki e-mailt „fenyegetéssel és durvasággal”. Még egy minta e-mail formátumot is biztosítanak az áldozatok számára.

A HydraCrypt némileg eltér a váltságdíj jegyében messze fenyegetőbb.

HydroCryptRansom

Azt mondják, hacsak az áldozat nem fizet 72 órán belül, szankciót szabnak ki. Ez lehet a váltságdíj növekedése vagy a privát kulcs megsemmisülése, ami lehetetlenné teszi a fájlok visszafejtését.

Ezzel is fenyegetőznek adja ki a személyes adatokat Íme, mennyit érhet személyazonossága a sötét webenKényelmetlen árunak gondolni magát, de minden személyes adata, a névtől és a címtől a bankszámlaadatokig, sokat ér az online bűnözők számára. mennyit érsz? Olvass tovább , nem fizetők fájljai és dokumentumai a sötét weben. Ez egy kicsit ritkaságnak számít a zsarolóvírusok között, mivel sokkal rosszabb következményekkel jár, mintha nem kapná vissza a fájlokat.

Fájlok visszaszerzése

Ahogy korábban említettük, az Emisoft Fabian Wosar meg tudta törni a használt titkosítást, és kiadott egy eszközt a fájlok visszaszerzésére, az ún. DecryptHydraCrypt.

Ahhoz, hogy működjön, két fájlnak kell kéznél lennie. Ezeknek bármilyen titkosított fájlnak kell lenniük, valamint a fájl titkosítatlan másolatának kell lennie. Ha van egy dokumentum a merevlemezén, amelyről biztonsági másolatot készített a Google Drive-ra vagy az e-mail fiókjába, használja ezt.

Alternatív megoldásként, ha nem rendelkezik ezzel, csak keressen egy titkosított PNG-fájlt, és használjon bármilyen más véletlenszerű PNG-fájlt, amelyet saját maga hoz létre, vagy tölt le az internetről.

Ezután húzza át őket a visszafejtő alkalmazásba. Ezután működésbe lép, és megpróbálja meghatározni a privát kulcsot.

DecrypterDragDrop

Figyelmeztetni kell, hogy ez nem lesz azonnali. A visszafejtő meglehetősen bonyolult matematikai számításokat végez a visszafejtési kulcs kidolgozása érdekében, és ez a folyamat a CPU-tól függően több napig is eltarthat.

Miután kidolgozta a visszafejtési kulcsot, megnyílik egy ablak, ahol kiválaszthatja azokat a mappákat, amelyek tartalmát vissza szeretné fejteni. Ez rekurzív módon működik, tehát ha van egy mappa egy mappában, akkor csak a gyökérmappát kell kiválasztania.

Érdemes megjegyezni, hogy a HydraCrypt és az UmbreCrypt egy hibával rendelkezik, amelyben minden titkosított fájl utolsó 15 bájtja helyrehozhatatlanul megsérül.

Bitok

Ez nem okozhat túl sok gondot, mivel ezeket a bájtokat általában kitöltésre vagy nem alapvető metaadatokra használják. Szösz, alapvetően. Ha azonban nem tudja megnyitni a visszafejtett fájlokat, próbálja meg megnyitni őket egy fájl-visszaállító eszközzel.

Nincs szerencse?

Lehetséges, hogy ez nem fog működni az Ön számára. Ennek számos oka lehet. A legvalószínűbb az, hogy nem HydraCrypt, CrypBoss vagy UmbraCrypt zsarolóprogramon próbálja futtatni.

Egy másik lehetőség, hogy a kártevőt a gyártók úgy módosították, hogy más titkosítási algoritmust használjon.

Ezen a ponton van néhány lehetőséged.

A leggyorsabb és legígéretesebb fogadás a váltságdíj kifizetése. Ez meglehetősen változó, de általában 300 dollár körül mozog, és néhány órán belül visszaállítja a fájlokat.

RansomBitcoin

Magától értetődik, hogy szervezett bűnözőkkel van dolga, ezért nincs garancia ténylegesen visszafejtik a fájlokat, és ha nem vagy elégedett, nincs esélyed a visszatérítés.

Figyelembe kell vennie azt az érvet is, amely szerint ezeknek a váltságdíjaknak a fizetése állandósítja a terjedését ransomware, és továbbra is pénzügyileg jövedelmezővé teszi a fejlesztők számára a zsarolóprogramok írását programokat.

A második lehetőség az, hogy várjon abban a reményben, hogy valaki kiad egy visszafejtő eszközt az Ön által érintett rosszindulatú programok számára. Ez CryptoLockerrel történt A CryptoLocker meghalt: Így szerezheti vissza fájljait! Olvass tovább , amikor a privát kulcsok kiszivárogtak egy parancs- és vezérlőkiszolgálóról. Itt a visszafejtő program egy kiszivárgott forráskód eredménye volt.

Erre azonban nincs garancia. Gyakran előfordul, hogy nincs technológiai megoldás a fájlok visszaszerzésére váltságdíj fizetése nélkül.

A megelőzés jobb, mint a gyógyítás

Természetesen a zsarolóprogramok elleni küzdelem leghatékonyabb módja annak biztosítása, hogy először ne fertőződjön meg. Néhány egyszerű óvintézkedés megtételével, például egy teljesen frissített víruskereső futtatásával, és nem tölt le fájlokat gyanús helyekről, csökkentheti a fertőzés esélyét.

Hatással volt rád a HydraCrypt vagy az UmbreCrypt? Sikerült visszaszerezni a fájlokat? Tudassa velem az alábbi megjegyzésekben.

A kép forrásai: Laptop használata, ujj az érintőpadon és a billentyűzet (Scyther5 a ShutterStock segítségével), Bitcoin a billentyűzeten (AztekPhoto a ShutterStockon keresztül)

Matthew Hughes szoftverfejlesztő és író Liverpoolból, Angliából. Ritkán találják meg csésze erős feketekávé nélkül a kezében, és teljesen imádja Macbook Pro-ját és fényképezőgépét. A blogját itt olvashatja http://www.matthewhughes.co.uk és kövesd őt a Twitteren a @matthewhughes címen.