Реклама

Има сјајних вести за све који су погођени ЦрипБосс, ХидраЦрипт и УмбреЦрипт рансомвером. Фабиан Восар, истраживач у Емсисофту, има успео да их реверс-инжењеринг, и у том процесу је објавио програм који је у стању да дешифрује датотеке које би иначе биле изгубљене.

Ова три злонамерна програма су веома слична. Ево шта треба да знате о њима и како можете да вратите своје датотеке.

Састанак са породицом ЦрипБосс

Стварање злонамерног софтвера је одувек била индустријска кућа вредна милијарду долара. Злонамерни програмери софтвера пишу нове програме злонамерног софтвера и продају их на аукцији организованим криминалцима у најслађим крајевима мрачну мрежу Путовање у скривену мрежу: Водич за нове истраживачеОвај приручник ће вас одвести у обилазак многих нивоа дубоког веба: база података и информација доступних у академским часописима. Коначно, стићи ћемо до капија Тора. Опширније .

ДаркВеб

Ови криминалци их затим дистрибуирају надалеко и широм, у процесу заразе на хиљаде машина и правећи безбожна количина новца

instagram viewer
Шта мотивише људе да хакују рачунаре? Савет: НовацКриминалци могу користити технологију да зараде новац. Ти ово знаш. Али били бисте изненађени колико генијални могу бити, од хаковања и препродаје сервера до њиховог реконфигурисања као уносних Битцоин рудара. Опширније .

Чини се да се то овде догодило.

Обоје ХидраЦрипт и УмбреЦрипт су благо модификоване варијанте другог малвер програма под називом ЦрипБосс. Поред тога што имају заједничко порекло, они се такође дистрибуирају Англер Екплоит Кит, који користи методу преузимања из вожње да би заразио жртве. Дан Олбрајт има опширно писано о комплетима за експлоатацију Овако вас хакују: Мутан свет комплета за експлоатацијуПреваранти могу да користе софтверске пакете да искористе рањивости и креирају злонамерни софтвер. Али шта су ови комплети за експлоатацију? Одакле долазе? И како се могу зауставити? Опширније у прошлости.

Било је много истраживања о породици ЦрипБосс од стране неких од највећих имена у истраживању рачунарске безбедности. Изворни код ЦрипБосс-а је процурео прошле године на ПастеБин, и сигурносна заједница га је скоро одмах прогутала. Крајем прошле недеље, МцАфее је објавио једна од најбољих анализа ХидраЦрипт-а, који је објаснио како функционише на најнижим нивоима.

Разлике између ХидраЦрипт-а и УмбреЦрипт-а

У погледу њихове суштинске функционалности, ХидраЦрипт и УмбреЦрипт оба раде исту ствар. Када први пут заразе систем, почињу да шифрују датотеке на основу њихове екстензије датотеке, користећи јак облик асиметричне енкрипције.

проширења

Они такође имају друга неосновна понашања која су прилично уобичајена у софтверу за рансомваре.

На пример, оба дозвољавају нападачу да отпреми и изврши додатни софтвер на зараженој машини. Оба бришу копије у сенци шифрованих датотека, што онемогућава њихово враћање.

Можда је највећа разлика између ова два програма начин на који „откупују“ датотеке назад.

УмбреЦрипт је веома стварна ствар. Жртвама се говори да су заражене и да нема шансе да врате своје фајлове без сарадње. Да би жртва покренула процес дешифровања, потребно је да пошаље е-пошту на једну од две адресе. Они се налазе на „енгинеер.цом“ и „цонсултант.цом“ респективно.

Убрзо након тога, неко из УмбреЦрипт-а ће одговорити са информацијама о плаћању. Обавештење о рансомваре-у не говори жртви колико ће платити, иако жртви говори да ће накнада бити вишеструко увећана ако не плати у року од 72 сата.

Урнебесно, упутства која је дао УмбреЦрипт говоре жртви да им не шаље е-пошту са „претњама и грубошћу“. Они чак пружају и пример формата е-поште за жртве.

ХидраЦрипт се мало разликује по начину на који је њихова порука о откупнини далеко више претећи.

ХидроЦриптРансом

Кажу да ће, осим ако жртва не плати за 72 сата, изрећи санкцију. Ово може бити повећање откупнине или уништавање приватног кључа, чиме је онемогућено дешифровање датотека.

Такође прете да ће објавите приватне информације Ево колико би ваш идентитет могао да вреди на мрачном вебуНепријатно је мислити о себи као о роби, али сви ваши лични подаци, од имена и адресе до података о банковном рачуну, вреде нешто за онлајн криминалце. колико вредиш? Опширније , фајлови и документи неплатиша на Дарк вебу. Ово га чини мало реткошћу међу рансомвером, јер има последице које су много горе од тога да не вратите своје датотеке.

Како да вратите своје датотеке

Као што смо раније споменули, Емисофт-ов Фабиан Восар је успео да разбије коришћену енкрипцију и објавио је алатку за враћање ваших датотека, тзв. ДецриптХидраЦрипт.

Да би то функционисало, потребно је да имате два фајла при руци. То би требало да буде било која шифрована датотека, плус нешифрована копија те датотеке. Ако имате документ на чврстом диску за који сте направили резервну копију на Гоогле диску или налогу е-поште, користите ово.

Алтернативно, ако немате ово, само потражите шифровану ПНГ датотеку и користите било коју другу насумичну ПНГ датотеку коју сами креирате или преузмете са Интернета.

Затим их превуците и отпустите у апликацију за дешифровање. Затим ће кренути у акцију и почети да покушава да одреди приватни кључ.

ДецриптерДрагДроп

Требало би да будете упозорени да ово неће бити тренутно. Дешифратор ће радити прилично компликовану математику да би разрадио ваш кључ за дешифровање, а овај процес би потенцијално могао да потраје неколико дана, у зависности од вашег ЦПУ-а.

Када се разради кључ за дешифровање, отвориће се прозор и омогућити вам да изаберете фасцикле чији садржај желите да дешифрујете. Ово функционише рекурзивно, тако да ако имате фасциклу у фасцикли, мораћете само да изаберете основну фасциклу.

Вреди напоменути да ХидраЦрипт и УмбреЦрипт имају ману, у којој је последњих 15 бајтова сваке шифроване датотеке неповратно оштећено.

Битс

Ово не би требало да вас превише узнемирава, јер се ови бајтови обично користе за попуњавање или небитне метаподатке. Флуфф, у суштини. Али ако не можете да отворите своје дешифроване датотеке, покушајте да их отворите помоћу алата за враћање датотека.

Нема среће?

Постоји шанса да ово неће радити за вас. То би могло бити из више разлога. Највероватније је да покушавате да га покренете на рансомваре програму који није ХидраЦрипт, ЦрипБосс или УмбраЦрипт.

Друга могућност је да су га произвођачи малвера модификовали да користи другачији алгоритам шифровања.

У овом тренутку, имате неколико опција.

Најбржа и најперспективнија опклада је да платите откупнину. Ово се прилично разликује, али се углавном креће око 300 долара и видећете да су ваше датотеке враћене за неколико сати.

РансомБитцоин

Подразумева се да имате посла са организованим криминалцима, тако да нема гаранција они ће заправо дешифровати датотеке, а ако нисте задовољни, немате шансе да добијете а враћање новца.

Такође бисте требали размотрити аргумент да плаћање ових откупа одржава ширење рансомваре, и наставља да чини финансијски уносним за програмере писање рансомваре-а програме.

Друга опција је да сачекате у нади да ће неко објавити алат за дешифровање злонамерног софтвера којим сте погођени. Ово догодило са ЦриптоЛоцкер-ом ЦриптоЛоцкер је мртав: Ево како можете вратити своје датотеке! Опширније , када су приватни кључеви процурили са сервера за команду и контролу. Овде је програм за дешифровање био резултат процурелог изворног кода.

Ипак, нема гаранције за ово. Често не постоји технолошко решење за враћање датотека без плаћања откупнине.

Превенција је боља од лечења

Наравно, најефикаснији начин да се носите са програмима рансомвера је да се уверите да нисте заражени. Предузимајући неке једноставне мере предострожности, као што је покретање потпуно ажурираног антивирусног програма и не преузимајући датотеке са сумњивих места, можете да смањите своје шансе да се заразите.

Да ли је на вас утицао ХидраЦрипт или УмбреЦрипт? Да ли сте успели да вратите своје фајлове? Јавите ми у коментарима испод.

Заслуге за слике: Коришћење лаптопа, прст на тачпеду и тастатури (Сцитхер5 преко СхуттерСтоцк-а), Битцоин на тастатури (АзтекПхото преко СхуттерСтоцк-а)

Маттхев Хугхес је програмер софтвера и писац из Ливерпоола, Енглеска. Ретко се може наћи без шољице јаке црне кафе у руци и апсолутно обожава свој Мацбоок Про и своју камеру. Његов блог можете прочитати на http://www.matthewhughes.co.uk и пратите га на твитеру на @маттхевхугхес.