Forside Sikkerhed Sådan gendannes mistede filer fra CrypBoss Ransomware

Sådan gendannes mistede filer fra CrypBoss Ransomware

  • Gabriel Brooks
  • 0
  • 978
  • 124
Reklame

Der er gode nyheder for alle, der er berørt af CrypBoss, HydraCrypt og UmbreCrypt ransomware. Fabian Wosar, en forsker hos Emsisoft, har formået at reverse-engineer dem, og har i processen frigivet et program, der er i stand til at dekryptere filer, der ellers ville gå tabt.

Disse tre malware-programmer er meget ens. Her er hvad du har brug for at vide om dem, og hvordan du kan få dine filer tilbage.

Mød CrypBoss-familien

Oprettelse af malware har altid været en milliard dollar cottage industri. Dårlige softwareudviklere skriver nye malware-programmer og auktionerer dem til organiserede kriminelle i de mørkeste række af det mørke web. Rejse til det skjulte web: En guide til nye forskere Rejse til den skjulte web: En guide til nye forskere Denne vejledning tager dig på en tur gennem de mange niveauer på det dybe web: databaser og information tilgængelig i akademiske tidsskrifter. Endelig ankommer vi Tor's porte. .

Disse kriminelle fordeler dem derefter vidt og bredt i processen, der inficerer tusinder af maskiner og tjener en ugudelig penge. Hvad motiverer folk til at hacke computere? Tip: Penge Hvad motiverer folk til at hacke computere? Tip: Penge Kriminelle kan bruge teknologi til at tjene penge. Du ved det. Men du vil blive overrasket over, hvor geniale de kan være, fra hacking og videresalg af servere til at konfigurere dem som lukrative Bitcoin-minearbejdere. .

Det ser ud til, at der er sket her.

Både HydraCrypt og UmbreCrypt er let modificerede varianter af et andet malware-program kaldet CrypBoss. Ud over at have en fælles aner, distribueres de også gennem Angler Exploit Kit, der bruger metoden til download-down-downloads til at inficere ofre. Dann Albright har skrevet omfattende om udnyttelsessæt Sådan hacker du dig: Den skumle verden af ​​udnyttelsessæt Sådan hacker du dig: Den skumle verden med udnyttelsessæt Svindlere kan bruge softwarepakker til at udnytte sårbarheder og skabe malware. Men hvad er disse udnyttelsessæt? Hvor kommer de fra? Og hvordan kan de stoppes? i fortiden.

Nogle af de største navne inden for computersikkerhedsundersøgelser har forsket i CrypBoss-familien. Kildekoden til CrypBoss blev lækket sidste år på PasteBin og blev næsten øjeblikkeligt fortæret af sikkerhedsfællesskabet. Sent i sidste uge offentliggjorde McAfee en af ​​de bedste analyser af HydraCrypt, som forklarede, hvordan det fungerer på dets laveste niveauer.

Forskellene mellem HydraCrypt og UmbreCrypt

Med hensyn til deres væsentlige funktionalitet gør HydraCrypt og UmbreCrypt begge de samme ting. Når de først inficerer et system, begynder de at kryptere filer baseret på deres filtypenavn ved hjælp af en stærk form for asymmetrisk kryptering.

De har også anden adfærd, der ikke er kerne, der er ret almindelig inden for ransomware-software.

For eksempel tillader begge angriberen at uploade og udføre yderligere software til den inficerede maskine. Begge sletter skyggekopierne af de krypterede filer, hvilket gør det umuligt at gendanne dem.

Den største forskel mellem de to programmer er måske den måde, de gør på “løsepenge” filerne tilbage.

UmbreCrypt er meget kendsgerning. Det fortæller ofrene, at de er blevet inficeret, og der er ingen chance for, at de får deres filer tilbage uden at samarbejde. For at offeret skal starte dekrypteringsprocessen, skal de sende en e-mail til en af ​​to adresser. Disse er hostet den “engineer.com” og “consultant.com” henholdsvis.

Kort efter vil nogen fra UmbreCrypt svare med betalingsoplysninger. Ransomware-meddelelsen fortæller ikke offeret, hvor meget de skal betale, selvom det fortæller offeret, at gebyret ganges, hvis de ikke betaler inden for 72 timer.

Hilarious fortæller instruktionerne leveret af UmbreCrypt offeret ikke at e-maile dem med “trusler og uhøflighed”. De giver endda et eksempel på e-mail-format, som ofrene skal bruge.

HydraCrypt adskiller sig lidt på den måde, som deres løsepenge er langt mere truende.

De siger, at medmindre offeret ikke betaler sig inden for 72 timer, vil de udsende en sanktion. Dette kan være en stigning i løsepenge eller ødelæggelse af den private nøgle, hvilket gør det umuligt at dekryptere filerne.

De truer også med at frigive de private oplysninger Her er hvor meget din identitet kan være værd på det mørke web Her er hvor meget din identitet kunne være værd på det mørke web Det er ubehageligt at betragte dig selv som en vare, men alle dine personlige oplysninger, fra navn og adresse til bankkontodetaljer, er noget værd for online kriminelle. Hvor meget er du værd? , filer og dokumenter fra ikke-betalere på Dark web. Dette gør det lidt sjældent blandt ransomware, da det har en konsekvens, der er langt værre end ikke at få dine filer tilbage.

Sådan får du dine filer tilbage

Som vi nævnte tidligere, har Emisofts Fabian Wosar været i stand til at bryde den anvendte kryptering og har frigivet et værktøj til at få dine filer tilbage, kaldet DecryptHydraCrypt.

For at det skal fungere, skal du have to filer til rådighed. Disse skal være en hvilken som helst krypteret fil, plus en ikke-krypteret kopi af den fil. Hvis du har et dokument på din harddisk, som du sikkerhedskopierede til Google Drev eller din e-mail-konto, skal du bruge dette.

Alternativt, hvis du ikke har dette, skal du bare kigge efter en krypteret PNG-fil og bruge enhver anden tilfældig PNG-fil, som du enten opretter selv, eller downloade fra Internettet.

Træk derefter og slip dem ind i dekrypteringsappen. Derefter starter den og begynder at prøve at bestemme den private nøgle.

Du skal advares om, at dette ikke sker øjeblikkeligt. Dekrypteren gør noget ret kompliceret matematik for at udarbejde din dekrypteringsnøgle, og denne proces kan potentielt tage flere dage, afhængigt af din CPU.

Når den er blevet udarbejdet dekrypteringsnøglen, åbner det et vindue og giver dig mulighed for at vælge de mapper, hvis indhold du vil dekryptere. Dette fungerer rekursivt, så hvis du har en mappe i en mappe, skal du kun vælge rodmappen.

Det er værd at bemærke, at HydraCrypt og UmbreCrypt har en fejl, hvor de sidste 15 byte af hver krypteret fil er beskadiget uopretteligt..

Dette skulle ikke forstyrre dig for meget, da disse bytes normalt bruges til polstring eller ikke-væsentlige metadata. Fluff, dybest set. Men hvis du ikke kan åbne dine dekrypterede filer, kan du prøve at åbne dem med et filgendannelsesværktøj.

Intet held?

Der er en chance for, at dette ikke fungerer for dig. Det kan være af flere årsager. Det mest sandsynlige er, at du prøver at køre det på et ransomware-program, der ikke er HydraCrypt, CrypBoss eller UmbraCrypt.

En anden mulighed er, at producenterne af malware ændrede den til at bruge en anden krypteringsalgoritme.

På dette tidspunkt har du et par muligheder.

Den hurtigste og mest lovende indsats er at betale løsepenge. Dette varierer ganske lidt, men svæver generelt omkring $ 300-mærket og vil se dine filer gendannes på få timer.

Det skal være en selvfølge, at du har at gøre med organiserede kriminelle, så der er ingen garantier for, at de faktisk dekrypterer filerne, og hvis du ikke er lykkelig, har du ingen chance for at få refusion.

Du skal også overveje argumentet om, at betaling af disse løsepenge forevrer spredningen af ​​ransomware, og fortsætter med at gøre det økonomisk indbringende for udviklerne at skrive ransomware-programmer.

Den anden mulighed er at vente i håb om, at nogen frigiver et dekrypteringsværktøj til den malware, du er blevet ramt af. Dette skete med CryptoLocker CryptoLocker er død: Sådan kan du få dine filer tilbage! CryptoLocker er død: Sådan kan du få dine filer tilbage! , da de private nøgler blev lækket fra en kommando-og-kontrol-server. Her var dekrypteringsprogrammet resultatet af lækket kildekode.

Der er dog ingen garanti for dette. Der er ofte ikke nogen teknologisk løsning til at få dine filer tilbage uden at betale en løsepenge.

Forebyggelse er bedre end en kur

Selvfølgelig er den mest effektive måde at håndtere ransomware-programmer på at sikre, at du ikke er inficeret i første omgang. Ved at tage nogle enkle forholdsregler, såsom at køre en fuldt opdateret antivirus, og ikke downloade filer fra mistænkelige steder, kan du afbøde dine chancer for at blive inficeret.

Blev du påvirket af HydraCrypt eller UmbreCrypt? Har du formået at få dine filer tilbage? Fortæl mig det i kommentarerne herunder.

Billedkreditter: Brug af en bærbar computer, finger på touchpad og tastatur (Scyther5 via ShutterStock), Bitcoin på tastatur (AztekPhoto via ShutterStock)




Endnu ingen kommentarer

6 bedste Arduino alternative mikrokontrollere
gør det selv
4 projekter, der gør din hindbærpi bærbar
gør det selv
Sådan patenteres en idé i 8 enkle trin
gør det selv
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.