Startpagina » Veiligheid » CryptoDefense Ransomware en hoe Symantec heeft geholpen het probleem te verhelpen!

    CryptoDefense Ransomware en hoe Symantec heeft geholpen het probleem te verhelpen!

    CryptoDefense ransomware domineert tegenwoordig de discussies. Slachtoffers die ten prooi vallen aan deze variant van Ransomware wenden zich in groten getale tot verschillende fora, op zoek naar ondersteuning van experts. Beschouwd als een soort ransomware, komt het programma op het gedrag van CryptoLocker, maar kan niet worden beschouwd als een volledige afgeleide ervan, want de code die hij uitvoert is compleet anders. Bovendien is de schade die het veroorzaakt potentieel enorm.

    CryptoDefense Ransomware

    De oorsprong van het Internet-miscreant is terug te voeren op de woedende concurrentie tussen cyber-bendes eind februari 2014. Het leidde tot de ontwikkeling van een mogelijk schadelijke variant van dit ransomware-programma, in staat om iemands bestanden te versleutelen en hen te dwingen een betaling uit te voeren voor het herstellen van de bestanden.

    CryptoDefense is, zoals het bekend is, gericht op tekst-, afbeelding-, video-, PDF- en MS Office-bestanden. Wanneer een eindgebruiker de geïnfecteerde bijlage opent, begint het programma zijn doelbestanden te coderen met een sterke RSA-2048-sleutel die moeilijk ongedaan kan worden gemaakt. Zodra de bestanden zijn gecodeerd, voert de malware bestanden uit die losgeld vragen en die in elke map met versleutelde bestanden staan.

    Bij het openen van de bestanden vindt het slachtoffer een CAPTCHA-pagina. Als de bestanden te belangrijk voor hem zijn en hij ze terug wil, accepteert hij het compromis. Verdergaand, moet hij de CAPTCHA correct invullen en de gegevens worden verzonden naar de betaalpagina. De prijs van het losgeld is vooraf bepaald, verdubbeld als het slachtoffer niet voldoet aan de instructies van de ontwikkelaar binnen een gedefinieerde periode van vier dagen.

    De persoonlijke sleutel die nodig is om de inhoud te decoderen, is beschikbaar bij de ontwikkelaar van de malware en wordt alleen teruggestuurd naar de server van de aanvaller wanneer het gewenste bedrag volledig als losgeld wordt afgeleverd. De aanvallers lijken een "verborgen" website te hebben gemaakt om betalingen te ontvangen. Nadat de externe server de ontvanger van de privé-decoderingssleutel heeft bevestigd, wordt een schermafbeelding van de besmette desktop geüpload naar de externe locatie. Met CryptoDefense kun je het losgeld betalen door Bitcoins naar een adres te sturen dat wordt weergegeven op de Decrypt Service-pagina van de malware.

    Hoewel het hele schema van zaken goed uitgewerkt lijkt te zijn, had de ransomware van CryptoDefense toen het voor het eerst verscheen, een paar bugs. Het liet de sleutel achter op de computer van het slachtoffer zelf! 😀

    Dit vereist natuurlijk technische vaardigheden die een gemiddelde gebruiker misschien niet bezit om de sleutel te achterhalen. De fout werd voor het eerst opgemerkt door Fabian Wosar van Emsisoft en leidde tot de oprichting van een Decrypter hulpmiddel dat mogelijk de sleutel kan ophalen en uw bestanden kan decoderen.

    Een van de belangrijkste verschillen tussen CryptoDefense en CryptoLocker is het feit dat CryptoLocker het RSA-sleutelpaar op de opdracht- en besturingsserver genereert. CryptoDefense, aan de andere kant, gebruikt de Windows CryptoAPI om het sleutelpaar op het systeem van de gebruiker te genereren. Dit zou niet al te veel van het verschil maken als het niet om een ​​paar weinig bekende en slecht gedocumenteerde eigenaardigheden van de Windows CryptoAPI zou gaan. Een van die grillen is dat als je niet voorzichtig bent, het lokale kopieën zal maken van de RSA-sleutels waarmee je programma werkt. Degene die CryptoDefense heeft gemaakt, was zich duidelijk niet bewust van dit gedrag en dus, buiten medeweten van hen, werd de sleutel om de bestanden van een geïnfecteerde gebruiker te ontgrendelen, feitelijk op het systeem van de gebruiker bewaard, zei Fabian, in een blogpost met de titel Het verhaal van onveilige ransomwaretoetsen en zelfbedienings bloggers.

    De methode zag succes en het helpen van mensen, tot Symantec besloten om een ​​volledige uiteenzetting van de fout te geven en de bonen te morsen via zijn blogpost. De actie van Symantec heeft de malware-ontwikkelaar ertoe aangezet om CryptoDefense bij te werken, zodat deze niet langer de sleutel achterlaat.

    Symantec-onderzoekers schreven:

    Vanwege de slechte implementatie door de aanvallers van de cryptografische functionaliteit hebben ze, vrij letterlijk, hun gijzelaars een sleutel achtergelaten om te ontsnappen ".

    Hierop antwoordden de hackers:

    Spasiba Symantec ("Thank You" in het Russisch). Die fout is verholpen, zegt KnowBe4.

    Op dit moment is de enige manier om dit op te lossen, ervoor te zorgen dat u een recente back-up van de bestanden hebt die daadwerkelijk kan worden hersteld. Veeg en herstel de machine opnieuw en herstel de bestanden.

    Deze post op BleepingComputers zorgt voor een uitstekende leeservaring als u meer wilt weten over deze Ransomware en de situatie van tevoren wilt oplossen. Helaas werken de methoden in de 'Inhoudsopgave' alleen voor 50% van de gevallen van infectie. Toch biedt het een goede kans om uw bestanden terug te krijgen.

    CryptoLocker Tripwire Free Cryptolocker Prevention Tool
    CryptoMonitor Gratis bescherming en preventiehulpprogramma voor ransomware
    Crunchyroll voor Apple TV (recensie)
    Volgend artikel
    CryptoLocker Decryption Tool vrijgegeven
    Vorig artikel
    Verpletter schedels en breek de stekels in Mortal Kombat X Mobile nu uit op iOS en binnenkort op Android