CryptoDefense Ransomware e come Symantec ha aiutato a risolvere il suo difetto!
CryptoDefense il ransomware sta dominando le discussioni in questi giorni. Le vittime cadute in preda a questa variante di Ransomware si sono rivolte a forum diversi in gran numero, in cerca di supporto da parte di esperti. Considerato come un tipo di ransomware, il programma scansiona il comportamento di cryptolocker, ma non può essere considerato come derivato completo di esso, poiché il codice che esegue è completamente diverso. Inoltre, il danno che provoca è potenzialmente vasto.
CryptoDefense Ransomware
L'origine del malgoverno di Internet può essere fatta risalire alla furiosa competizione tenuta tra le cyber-gang alla fine di febbraio 2014. Ha portato allo sviluppo di una variante potenzialmente dannosa di questo programma ransomware, in grado di scrambling i file di una persona e costringendoli a effettuare un pagamento per recuperare i file.
CryptoDefense, come è noto, si rivolge a file di testo, immagini, video, PDF e MS Office. Quando un utente finale apre l'allegato infetto, il programma inizia a crittografare i suoi file di destinazione con una forte chiave RSA-2048 che è difficile da annullare. Una volta che i file sono stati crittografati, il malware invia file di richiesta di riscatto in ogni cartella contenente file crittografati.
All'apertura dei file, la vittima trova una pagina CAPTCHA. Se i file sono troppo importanti per lui e li vuole indietro, accetta il compromesso. Procedendo ulteriormente, deve compilare correttamente il CAPTCHA e i dati vengono inviati alla pagina di pagamento. Il prezzo del riscatto è predeterminato, raddoppiato se la vittima non rispetta le istruzioni dello sviluppatore entro un periodo di tempo definito di quattro giorni.
La chiave privata necessaria per decrittografare il contenuto è disponibile con lo sviluppatore del malware e viene rinviata al server dell'aggressore solo quando l'importo desiderato viene consegnato interamente come riscatto. Sembra che gli aggressori abbiano creato un sito web "nascosto" per ricevere pagamenti. Dopo che il server remoto ha confermato il destinatario della chiave di decrittografia privata, uno screenshot del desktop compromesso viene caricato nella posizione remota. CryptoDefense ti consente di pagare il riscatto inviando Bitcoin a un indirizzo mostrato nella pagina Servizio di decrittografia del malware.
Anche se l'intero schema delle cose sembra essere ben elaborato, il ransomware di CryptoDefense appena apparso aveva alcuni bug. Ha lasciato la chiave sul computer della vittima stessa! 😀Questo, ovviamente, richiede competenze tecniche, che un utente medio potrebbe non possedere, per capire la chiave. Il difetto è stato notato per la prima volta da Fabian Wosar di Emsisoft e ha portato alla creazione di a Decrypter strumento che potrebbe potenzialmente recuperare la chiave e decifrare i tuoi file.
Una delle principali differenze tra CryptoDefense e CryptoLocker è il fatto che CryptoLocker genera la sua coppia di chiavi RSA sul server di comando e controllo. CryptoDefense, d'altra parte, utilizza Windows CryptoAPI per generare la coppia di chiavi sul sistema dell'utente. Ora, questo non farebbe troppa differenza se non fosse per alcune stranezze poco conosciute e scarsamente documentate di Windows CryptoAPI. Una di queste stranezze è che se non fai attenzione, creerà copie locali delle chiavi RSA con cui il tuo programma funziona. Chiunque abbia creato CryptoDefense chiaramente non era a conoscenza di questo comportamento e quindi, a loro insaputa, la chiave per sbloccare i file di un utente infetto è stata effettivamente mantenuta sul sistema dell'utente, ha detto Fabian, in un post sul blog intitolato La storia di insicure chiavi del ransomware e di blogger self-serving.
Il metodo stava testimoniando il successo e l'assistenza alle persone, fino al Symantec ha deciso di fare un'esposizione completa del difetto e di versare i fagioli tramite il suo post sul blog. L'atto di Symantec ha spinto lo sviluppatore di malware ad aggiornare CryptoDefense, in modo che non lasci più la chiave.
I ricercatori di Symantec hanno scritto:
A causa della scarsa implementazione della funzionalità crittografica da parte degli aggressori, hanno letteralmente lasciato agli ostaggi la chiave per fuggire ".
A questo gli hacker hanno risposto:
Spasiba Symantec ("Grazie" in russo). Quel bug è stato corretto, dice KnowBe4.
Attualmente, l'unico modo per risolvere questo problema è assicurarsi di avere un backup recente dei file che possono essere effettivamente ripristinati. Pulire e ricostruire la macchina da zero e ripristinare i file.
Questo post su BleepingComputers è un'ottima lettura se vuoi saperne di più su questo Ransomware e combattere la situazione in anticipo. Sfortunatamente, i metodi elencati nel suo "Indice" funzionano solo per il 50% dei casi di infezione. Tuttavia, fornisce una buona possibilità di riavere i tuoi file.