CryptoDefense Ransomware und wie Symantec dabei geholfen hat, den Fehler zu beheben!
CryptoDefense Ransomware dominiert in diesen Tagen die Diskussionen. Opfer, die dieser Variante von Ransomware zum Opfer fielen, wandten sich in großer Zahl verschiedenen Foren zu und suchten Unterstützung von Experten. Als eine Art Ransomware betrachtet, macht das Programm das Verhalten von aus CryptoLocker, kann jedoch nicht als vollständige Ableitung davon betrachtet werden, da der Code, den er ausführt, völlig anders ist. Darüber hinaus ist der Schaden möglicherweise enorm.
CryptoDefense Ransomware
Der Ursprung des Internet-Missbrauchers kann aus dem wütenden Wettbewerb zwischen Internet-Gangs Ende Februar 2014 abgeleitet werden. Er führte zur Entwicklung einer möglicherweise schädlichen Variante dieses Ransomware-Programms, mit der die Dateien einer Person verschlüsselt werden können und sie gezwungen werden, eine Zahlung zu leisten zum Wiederherstellen der Dateien.
CryptoDefense zielt auf Text-, Bild-, Video-, PDF- und MS Office-Dateien ab. Wenn ein Endbenutzer den infizierten Anhang öffnet, beginnt das Programm, seine Zieldateien mit einem starken RSA-2048-Schlüssel zu verschlüsseln, der schwer rückgängig zu machen ist. Sobald die Dateien verschlüsselt sind, erstellt die Malware in jedem Ordner, der verschlüsselte Dateien enthält, Lösegeldforderungen.
Beim Öffnen der Dateien findet das Opfer eine CAPTCHA-Seite. Wenn ihm die Akten zu wichtig sind und er sie zurückhaben will, akzeptiert er den Kompromiss. Wenn Sie fortfahren, muss er das CAPTCHA korrekt ausfüllen und die Daten werden an die Zahlungsseite gesendet. Der Lösegeldpreis ist vorbestimmt und wird verdoppelt, wenn das Opfer den Anweisungen des Entwicklers nicht innerhalb einer festgelegten Frist von vier Tagen nachkommt.
Der zum Entschlüsseln des Inhalts erforderliche private Schlüssel ist beim Entwickler der Malware verfügbar und wird nur an den Server des Angreifers zurückgesendet, wenn der gewünschte Betrag vollständig als Lösegeld geliefert wird. Die Angreifer haben offenbar eine "versteckte" Website erstellt, um Zahlungen zu erhalten. Nachdem der Remote-Server den Empfänger des privaten Entschlüsselungsschlüssels bestätigt hat, wird ein Screenshot des gefährdeten Desktops an den Remote-Standort hochgeladen. Mit CryptoDefense können Sie das Lösegeld bezahlen, indem Sie Bitcoins an eine Adresse senden, die auf der Decrypt Service-Seite der Malware angezeigt wird.
Obwohl das gesamte Schema gut ausgearbeitet zu sein scheint, hatte CryptoDefense, als es zum ersten Mal auf den Markt kam, einige Fehler. Es hat den Schlüssel rechts auf dem Computer des Opfers selbst hinterlassen! 😀Dies erfordert natürlich technische Fähigkeiten, die ein durchschnittlicher Benutzer möglicherweise nicht besitzt, um den Schlüssel herauszufinden. Der Fehler wurde zuerst von Fabian Wosar von entdeckt Emsisoft und führte zur Schaffung eines Entschlüssler Tool, das möglicherweise den Schlüssel abrufen und Ihre Dateien entschlüsseln kann.
Einer der Hauptunterschiede zwischen CryptoDefense und CryptoLocker ist die Tatsache, dass CryptoLocker sein RSA-Schlüsselpaar auf dem Befehls- und Steuerungsserver generiert. CryptoDefense hingegen verwendet die Windows CryptoAPI, um das Schlüsselpaar auf dem System des Benutzers zu generieren. Nun, dies würde keinen großen Unterschied machen, wenn es nicht nur wenige bekannte und schlecht dokumentierte Macken der Windows CryptoAPI gäbe. Eine dieser Macken ist, dass, wenn Sie nicht aufpassen, lokale Kopien der RSA-Schlüssel erstellt werden, mit denen Ihr Programm arbeitet. Wer CryptoDefense erstellt hat, war sich dieses Verhaltens offensichtlich nicht bewusst, und so wurde der Schlüssel zum Entsperren der Dateien eines infizierten Benutzers auf dem System des Benutzers aufbewahrt, sagte Fabian in einem Blogpost mit dem Titel Die Geschichte von unsicheren Ransomware-Schlüsseln und Self-Service-Bloggern.
Die Methode bestand darin, Erfolg zu sehen und den Menschen zu helfen, bis Symantec beschließt, ein vollständiges Exposé des Fehlers zu erstellen und die Bohnen über seinen Blogpost zu verschütten. Die Aktion von Symantec forderte den Malware-Entwickler auf, CryptoDefense so zu aktualisieren, dass der Schlüssel nicht mehr zurückgelassen wird.
Symantec-Forscher schrieben:
Aufgrund der schlechten Implementierung der kryptographischen Funktionalität durch die Angreifer haben sie ihren Geiseln buchstäblich einen Schlüssel zum Entkommen hinterlassen. ”.
Darauf antworteten die Hacker:
Spasiba Symantec ("Danke" auf Russisch). Dieser Fehler wurde behoben, sagt KnowBe4.
Derzeit können Sie dies nur beheben, indem Sie sicherstellen, dass Sie eine aktuelle Sicherung der Dateien haben, die tatsächlich wiederhergestellt werden können. Löschen Sie den Computer und erstellen Sie ihn von Grund auf neu, und stellen Sie die Dateien wieder her.
Dieser Beitrag zu BleepingComputers ist eine hervorragende Lektüre, wenn Sie mehr über diese Ransomware erfahren und die Situation im Voraus bekämpfen wollen. Leider funktionieren die in ihrem "Inhaltsverzeichnis" aufgeführten Methoden nur bei 50% der Infektionsfälle. Trotzdem bietet es eine gute Chance, Ihre Dateien zurückzuholen.