Oglas

Postoje sjajne vijesti za sve koji su pogođeni CrypBoss, HydraCrypt i UmbreCrypt ransomware-om. Fabian Wosar, istraživač u Emsisoft, ima uspio ih obrnuti, i u postupak je objavio program koji je u stanju da dešifrira datoteke koje bi se inače izgubile.

Ova su tri zlonamjerna softvera vrlo slična. Evo što trebate znati o njima i kako možete vratiti datoteke.

Upoznavanje obitelji CrypBoss

Izrada zlonamjernog softvera uvijek je bila vikend industrija od milijardu dolara. Zlonamjerni programeri softvera pišu nove programe zlonamjernog softvera i prodaju ih na aukciji organiziranim kriminalcima u najprljavijim dijelovima svijeta tamna mreža Putovanje u skriveni web: Vodič za nove istraživačeOvaj će vas priručnik obilaziti kroz brojne razine dubokog weba: baze podataka i informacije dostupne u akademskim časopisima. Napokon ćemo stići do Torinih vrata. Čitaj više .

DarkWeb

Ti kriminalci ih zatim distribuiraju daleko i široko, u procesu zaraze na tisuće strojeva i izradu anketa bezbožni iznos novca Što motivira ljude da hakiraju računala? Savjet: Novac

instagram viewer
Zločinci se pomoću tehnologije mogu zaraditi. Znaš ovo. Ali iznenadili biste se koliko mogu biti genijalni, od hakiranja i preprodaje servera do njihove konfiguriranja kao unosnih Bitcoin rudara. Čitaj više .

Čini se da se ovdje dogodilo.

Oba HydraCrypt i UmbreCrypt su lagano modificirane inačice drugog programa zlonamjernog softvera koji se zove CrypBoss. Osim što imaju zajedničko podrijetlo, oni su također distribuirani Angler Exploit Kit, koja koristi metodu preuzimanja preko pogona kako bi zarazila žrtve. Dann Albright je opširno napisano o eksploatacijskim setovima Ovako vas mrze: Mračni svijet setove eksploatacijePrevaranti mogu koristiti softverske pakete za iskorištavanje ranjivosti i stvaranje zlonamjernog softvera. Ali što su ovi kompleti za eksploataciju? Odakle dolaze? I kako ih se može zaustaviti? Čitaj više u prošlosti.

Bilo je dosta istraživanja obitelji CrypBoss od strane nekih od najvećih imena u istraživanju računalne sigurnosti. Izvorni kod CrypBoss-a procurio je prošle godine na PasteBin i gotovo ga je odmah proždirala sigurnosna zajednica. Krajem prošlog tjedna, McAfee je objavio jedna od najboljih analiza HydraCrypta, što je objasnilo kako to djeluje na najnižim razinama.

Razlike između HydraCrypt i UmbreCrypt

U pogledu njihove osnovne funkcionalnosti, HydraCrypt i UmbreCrypt rade isto. Kad prvi put zaraze sustav, počinju šifrirati datoteke na temelju proširenja datoteke, koristeći snažni oblik asimetrične enkripcije.

ekstenzije

Oni imaju i druga neuobičajena ponašanja koja su prilično česta unutar ransomware softvera.

Na primjer, obojica dopuštaju napadaču da učita i izvrši dodatni softver na zaraženom računalu. Obojica brišu kopije u sjeni kodiranih datoteka, što ih čini nemogućim vratiti.

Možda je najveća razlika između dva programa u načinu na koji "otkupljuju" datoteke.

UmbreCrypt je vrlo važan. Žrtvama poručuje da su zaraženi i nema šanse da vrate svoje datoteke bez suradnje. Da bi žrtva pokrenula postupak dešifriranja, trebala joj je poslati e-poštu na jednu od dvije adrese. Domaći su na „engineer.com“ i „konzultant.com“.

Ubrzo nakon toga, netko iz UmbreCrypta odgovorit će s podacima o plaćanju. Obavijest o otkupu ne govori žrtvi koliko će platiti, mada ona kaže da će se naknada umnožiti ako ne plati u roku od 72 sata.

Šaljivo, upute koje pruža UmbreCrypt poručuju žrtvi da im ne šalje e-poštu sa "prijetnjama i nepristojnošću". Oni čak pružaju ogledni format e-pošte za žrtve koje koriste.

HydraCrypt se malo razlikuje po načinu na koji je zabilježena njihova otkupnina daleko prijeteći.

HydroCryptRansom

Kažu da će, osim ako žrtva ne plati u roku od 72 sata, izreći sankciju. To može biti povećanje otkupnine ili uništavanje privatnog ključa, pa onemogućuje dešifriranje datoteka.

Oni također prijete objaviti privatne podatke Evo koliko vaš identitet može biti vrijedan na mračnom webuNije neugodno sebe smatrati robom, ali svi vaši osobni podaci, od imena i adrese do podataka o bankovnom računu, vrijede nešto od internetskih kriminalaca. Koliko vrijediš? Čitaj više , datoteke i dokumenti neplatišaca na Dark webu. To ga čini rijetkom među ransomware-om, jer ima posljedicu koja je puno gora od vraćanja datoteka.

Kako vratiti svoje datoteke

Kao što smo ranije spomenuli, Fabian Wosar tvrtke Emisoft uspio je slomiti korišteno šifriranje i izdao je alat za vraćanje datoteka, nazvan DecryptHydraCrypt.

Da bi radila, morate imati dvije datoteke pri ruci. To bi trebala biti svaka šifrirana datoteka, plus nešifrirana kopija te datoteke. Ako na tvrdom disku imate dokument koji ste napravili sigurnosnu kopiju na Google disku ili računu e-pošte, upotrijebite ovaj.

Ako nemate, jednostavno potražite šifriranu PNG datoteku i upotrijebite bilo koju drugu slučajnu PNG datoteku koju ste sami kreirali ili je preuzeli s interneta.

Zatim ih povucite i ispustite u aplikaciju za dešifriranje. Zatim će krenuti u akciju i početi pokušavati odrediti privatni ključ.

DecrypterDragDrop

Trebali biste upozoriti da to neće biti trenutačno Dešifrator će izraditi prilično kompliciranu matematiku da bi razradio vaš ključ za dešifriranje, a taj bi postupak mogao trajati nekoliko dana, ovisno o vašem CPU-u.

Nakon što proradi ključ za dešifriranje, otvorit će se prozor i omogućiti vam da odaberete mape čiji sadržaj želite dešifrirati. To djeluje rekurzivno, pa ako imate mapu u mapi, morat ćete samo odabrati korijensku mapu.

Vrijedno je napomenuti da HydraCrypt i UmbreCrypt imaju grešku, pri čemu je konačnih 15 bajtova svake šifrirane datoteke nepovratno oštećeno.

Komadići

To vas ne bi trebalo previše mučiti, jer se ti bajti obično koriste za padding ili nebitne metapodate. Pahuljica, u osnovi. Ali ako ne možete otvoriti svoje dekriptirane datoteke, pokušajte ih otvoriti alatom za vraćanje datoteka.

Nema srece?

Postoji šansa da to neće raditi za vas. To bi mogao biti iz više razloga. Najvjerojatnije je da ga pokušavate pokrenuti na ransomware programu koji nije HydraCrypt, CrypBoss ili UmbraCrypt.

Druga je mogućnost da su tvorci zlonamjernog softvera modificirali ga da koriste drugačiji algoritam šifriranja.

U ovom trenutku imate nekoliko opcija.

Najbrže i najperspektivnije oklada je platiti otkupninu. To se razlikuje poprilično, ali obično se kreće oko marke od 300 USD i datoteke će se vratiti u roku od nekoliko sati.

RansomBitcoin

Podrazumijeva se da imate posla s organiziranim kriminalcima, tako da nema garancija zapravo će dešifrirati datoteke, a ako niste zadovoljni, nemate šanse da ih nabavite povrat.

Također biste trebali razmotriti argument da plaćanje tih otkupnina produžava širenje ransomware i nastavlja razvijati financijski unosno za pisanje ransomwarea programe.

Druga je mogućnost pričekati u nadi da će netko objaviti alat za dešifriranje zlonamjernog softvera s kojim ste se suočili. Ovaj dogodilo s CryptoLocker-om CryptoLocker je mrtav: Evo kako možete vratiti svoje datoteke! Čitaj više , kada su privatni ključevi procurili sa naredbenog i upravljačkog poslužitelja. Ovdje je program dešifriranja rezultat procurjenog izvornog koda.

Ipak, za to nema garancije. Često nema tehnološkog rješenja za vraćanje datoteka bez plaćanja otkupnine.

Prevencija je bolja nego lijek

Naravno, najučinkovitiji način rješavanja ransomware programa jest osigurati da niste zaraženi. Poduzimajući neke jednostavne mjere opreza, poput pokretanja potpuno ažuriranog antivirusa i ne preuzimanja datoteka s sumnjivih mjesta, možete umanjiti svoje šanse da se zarazite.

Jeste li na vas utjecali HydraCrypt ili UmbreCrypt? Jeste li uspjeli vratiti datoteke? Javite mi u komentarima u nastavku.

Slikovni krediti: Koristite prijenosno računalo, prst na dodirnoj ploči i tipkovnici (Scyther5 putem ShutterStock), Bitcoin na tipkovnici (AztekPhoto putem ShutterStock)

Matthew Hughes je programer i pisac softvera iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.