reklama

Pro kohokoli zasaženého ransomwarem CrypBoss, HydraCrypt a UmbreCrypt existují skvělé zprávy. Fabian Wosar, výzkumník ve společnosti Emsisoft se jim podařilo převrátit, a v tomto procesu vydal program, který je schopen dešifrovat soubory, které by jinak byly ztraceny.

Tyto tři malware programy jsou velmi podobné. Zde je to, co o nich potřebujete vědět a jak můžete své soubory získat zpět.

Setkání s rodinou CrypBoss

Vytváření malwaru bylo vždy výrobkem chalup s miliardou dolarů. Vývojáři softwaru se špatným úmyslem píší nové programy škodlivého softwaru a dražují je organizovaným zločincům v nejzranitelnějších oblastech temný web Cesta do skrytého webu: Průvodce pro nové vědceTato příručka vás provede prohlídkou mnoha úrovní hlubokého webu: databází a informací dostupných v akademických časopisech. Nakonec dorazíme k branám Tor. Přečtěte si více .

DarkWeb

Tito zločinci je pak distribuují daleko a široce, v procesu infikují tisíce strojů a vyrábějí bezbožné množství peněz Co motivuje lidi k hackování počítačů? Tip: Peníze

instagram viewer
Zločinci mohou pomocí technologie vydělávat peníze. Ty to víš. Byli byste však překvapeni, jak geniální mohou být, od hackování a opětovného prodeje serverů až po jejich opětovné nastavení jako lukrativní horníky bitcoinů. Přečtěte si více .

Zdá se, že se to stalo.

Oba HydraCrypt a UmbreCrypt jsou lehce upravené varianty jiného škodlivého programu zvaného CrypBoss. Kromě sdílení předků jsou také distribuovány prostřednictvím Angler Exploit Kit, který používá k nakažení obětí metodu stahování pomocí aut. Dann Albright ano psaný rozsáhle o exploitovat výstroje Takto vás hacknou: Murky svět vykořisťujících soupravPodvodníci mohou používat softwarové sady k zneužití zranitelných míst a vytváření malwaru. Ale co jsou to vykořisťující soupravy? Odkud přicházejí? A jak je lze zastavit? Přečtěte si více v minulosti.

V rodině CrypBoss bylo provedeno mnoho výzkumů některými z největších jmen ve výzkumu počítačové bezpečnosti. Zdrojový kód pro CrypBoss byl minulý rok propuštěn na PasteBin a bezpečnostní komunita ho téměř okamžitě pohltila. Koncem minulého týdne publikoval McAfee jedna z nejlepších analýz HydraCrypt, což vysvětlovalo, jak funguje na nejnižší úrovni.

Rozdíly mezi HydraCryptem a UmbreCryptem

HydraCrypt a UmbreCrypt dělají totéž co se týče jejich základní funkce. Když poprvé infikují systém, začnou šifrovat soubory na základě jejich přípony, za použití silné formy asymetrického šifrování.

rozšíření

Mají také další non-core chování, které jsou docela běžné v ransomware softwaru.

Například umožňují útočníkovi nahrát a spustit další software do infikovaného počítače. Oba odstraní stínové kopie šifrovaných souborů, což znemožňuje jejich obnovení.

Asi největším rozdílem mezi těmito dvěma programy je způsob, jakým soubory „vykoupí“ zpět.

UmbreCrypt je velmi věcná. Říká obětem, že byli nakaženi, a není šance, že si své soubory vrátí bez spolupráce. Aby oběť mohla zahájit dešifrovací proces, musí poslat e-mail na jednu ze dvou adres. Jsou hostovány na stránkách „engineer.com“ a „consultant.com“.

Krátce nato někdo z UmbreCrypt odpoví platebními informacemi. Oznámení o ransomware neříká oběti, kolik zaplatí, ačkoli oběti říká, že poplatek bude vynásoben, pokud nezaplatí do 72 hodin.

Naštěstí instrukce UmbreCrypt říkají oběti, aby jim neposílala e-maily s „hrozbami a hrubostí“. Oběti dokonce poskytují vzorový e-mailový formát.

HydraCrypt se mírně liší způsobem, jakým je jejich výkupné daleko více ohrožující.

HydroCryptRansom

Říkají, že pokud oběť nezaplatí do 72 hodin, udělí sankci. Může to být zvýšení výkupného nebo zničení soukromého klíče, což znemožňuje dešifrování souborů.

Také jim hrozí zveřejnit soukromé informace Tady je, jak moc by se vaše identita mohla stát na temném webuJe nepříjemné myslet na sebe jako na komoditu, ale všechny vaše osobní údaje, od jména a adresy až po údaje o bankovním účtu, stojí za to pro zločince online. Kolik stojí za to? Přečtěte si více , soubory a dokumenty neplatičů na webu Dark. To z něj dělá raritu mezi ransomwarem, protože má důsledek, který je mnohem horší, než aby se vaše soubory nedostaly zpět.

Jak získat zpět své soubory

Jak jsme již zmínili dříve, Fabian Wosar od Emisoftu byl schopen rozbít použité šifrování a vydal nástroj pro zpětné získání vašich souborů, tzv. DecryptHydraCrypt.

Aby to fungovalo, musíte mít po ruce dva soubory. Mělo by se jednat o jakýkoli šifrovaný soubor plus nešifrovanou kopii tohoto souboru. Pokud máte na pevném disku dokument, který jste zazálohovali na Disk Google nebo do svého e-mailového účtu, použijte toto.

Pokud to ještě nemáte, jednoduše vyhledejte šifrovaný soubor PNG a použijte libovolný jiný náhodný soubor PNG, který si sami vytvoříte, nebo si jej stáhněte z internetu.

Poté je přetáhněte do dešifrovací aplikace. Poté se spustí do akce a začne se snažit určit soukromý klíč.

DecrypterDragDrop

Měli byste být upozorněni, že to nebude okamžité. Dešifrovač bude dělat trochu komplikovanou matematiku, aby vypracoval váš dešifrovací klíč, a tento proces může v závislosti na vašem procesoru trvat několik dní.

Po zpracování dešifrovacího klíče se otevře okno a umožní vám vybrat složky, jejichž obsah chcete dešifrovat. Funguje to rekurzivně, takže pokud máte složku ve složce, stačí vybrat pouze kořenovou složku.

Stojí za zmínku, že HydraCrypt a UmbreCrypt mají chybu, ve které je posledních 15 bytů každého šifrovaného souboru nenávratně poškozeno.

Bity

Nemělo by vás to příliš znepokojovat, protože tyto bajty se obvykle používají k vyplňování nebo nepodstatných metadat. Chmýří, v podstatě. Pokud však nemůžete otevřít dešifrované soubory, zkuste je otevřít pomocí nástroje pro obnovení souborů.

Žádné štěstí?

Je možné, že to pro vás nebude fungovat. To může být z několika důvodů. Nejpravděpodobnější je, že se snažíte spustit program ransomware, který není HydraCrypt, CrypBoss nebo UmbraCrypt.

Další možností je, že tvůrci malwaru jej upravili tak, aby používali jiný šifrovací algoritmus.

V tuto chvíli máte několik možností.

Nejrychlejší a nejslibnější sázka je výplata výkupného. Trochu se to liší, ale obvykle se pohybuje kolem značky 300 $ a vaše soubory se obnoví během několika hodin.

RansomBitcoin

Je samozřejmé, že jednáte s organizovanými zločinci, takže neexistují žádné záruky skutečně dešifrují soubory, a pokud nejste šťastní, nemáte šanci získat vrácení peněz.

Měli byste také zvážit argument, že vyplácení těchto výkupných udržuje šíření ransomware a pro vývojáře je i nadále finančně lukrativní psát ransomware programy.

Druhou možností je počkat v naději, že někdo vydá dešifrovací nástroj pro malware, který vás napadl. Tento se stalo s CryptoLocker CryptoLocker je mrtvý: Zde je návod, jak můžete získat své soubory zpět! Přečtěte si více , když došlo k úniku soukromých klíčů z příkazového a řídicího serveru. Zde byl dešifrovací program výsledkem uniklého zdrojového kódu.

Na to však není záruka. Poměrně často neexistuje žádné technologické řešení, jak získat zpět své soubory bez zaplacení výkupného.

Prevence je lepší než léčba

Nejúčinnějším způsobem, jak se vypořádat s programy ransomware, je samozřejmě zajistit, že nejste na prvním místě infikováni. Přijetím několika jednoduchých opatření, jako je spuštění plně aktualizovaného antiviru a stahování souborů z podezřelých míst, můžete snížit vaše šance na nakažení.

Byli jste ovlivněni HydraCryptem nebo UmbreCryptem? Podařilo se vám získat zpět své soubory? Dejte mi vědět v komentářích níže.

Obrazové kredity: Pomocí notebooku, prstu na touchpadu a klávesnici (Scyther5 přes ShutterStock), Bitcoin na klávesnici (AztekPhoto přes ShutterStock)

Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.